ウソのメールアドレスを使い…この件名のメールは、今までにも何度かご紹介しています。 でも、同じ件名なのにちょいちょい内容を変えて送ってくるんですよね。 今回はJCBに成りすましたフィッシング詐欺メールです。 ちょっと今までにない手の込んだメールです。 
件名は 「[spam] JCB カードご利用内容の確認のお願い」 しっかりスパムスタンプ付けられていますね。 この時点で確定です(笑) 差出人は 「JCB Webmaster <security.mail@qa.jcb.co.jp>」 ”jcb.co.jp”はJCBの正規ドメインですが、騙されてはいけません。 件名に”[spam]”と書かれているので間違いなくジャンクメールです。 ではこのウソをメールをヘッダーソースから暴いてみましょう。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<security.mail@qa.jcb.co.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「20210907152727507603@qa.jcb.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。 ここも偽装可能で鵜呑みにはできません。 | Received:「from qa.jcb.co.jp (mail.huayangcompany.net.cn [117.50.162.150])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! 
ほらほら、こんな結果が出てみました。 このIPアドレスに割当てられているドメインは”jcb.co.jp”ではなく”netfx.cn”でした。 ドメインの申請者は漢字二文字の方で、全然JCBじゃないです。
SMSに認証コードを送ったと?!次に本文に目を移します。 今までよくあった第三者不正利用を騙ったメールの場合、不正利用の可能性があるから リンクから確認しろ見たいな感じでしたが、今回も同じように第三者不正利用の可能性が あると書かれていますが、手が込んでいるのはその先です。 カードに登録している携帯番号へ認証コードが記載されたSMSが来たか来ないかで その先の処理が違うと書かれています。 もちろんこんなのはウソ! 当然誰にもSMSなんかに認証コードなんて送られていません(笑) 結局は、”(2)”にあるリンクをたどらせるために仕組んだ信憑性を高めさせる手段です。 そのリンクはメールに書かれているようにこのような長いもの。 
使われているドメインは”myjcbs_co_jp.ftpwnzc.cn” そう、”.cn”なので中国のトップレベルドメインですね。 これを簡単に検索してみます。 
登録者疎明は漢字三文字の方。 住所等詳しい情報は取得できませんでした。 割り当て国はアメリカとなっいていますがもう少し詳しい位置情報を取得してみます。 
カリフォルニア州サンフランシスコと出ました。 もちろんピンポイントではなくアバウトな位置情報ですが、先程のURLで接続される 詐欺サイトはこの地で運営されているんです。 繋いでみると、あからさまなコピーサイトが表示されました。 
まとめSMSの認証コードなんて手を使った少々手の込んだメールでしたね。 敵もなかなか考えたもんです! 件名からして一目瞭然で分かる詐欺メールもあれば、このように巧妙なものもあります。 この先さらに巧妙化することも考えられるので要注意ですね! くれぐれもお気を付けください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |