『詐欺メール』「TS3 TS CUBICCARDカード【重要:必ずお読みください】」と、来た件

アドレス偽装の見分け方

いつの間にか知らないうちにスパムメールブログエントリーが550本超えていました(^^;
なんか最近エントリー率増えてる感じ…
減らないと言うか、額に増えてます(-_-;)

さて、今朝も日曜だというのにいくつもの新しいタイプのフィッシング詐欺メールが
届いています。
被害者が増えないうちにご紹介しようと思います。

今回は「TS CUBICCARDカード」になりすまし、システム更新中にカードを使うために
リンクへアクセスするように誘導し個人情報とカード情報を盗み取ろうとするもの。

件名は
「[spam] TS3 TS CUBICCARDカード【重要:必ずお読みください】」
”[spam]”は、うちのサーバーがこのメールに敏感に反応した証のスパムスタンプです。
これがあることで、このメールに悪意があると判断できるので助かります。

差出人は
「トヨタファイナンス株式会社 <info@ts3card.com>」
”ts3card.com”は、TS CUBIC CARDさんの正規ドメインですが、すでにこのメールが
フィッシング詐欺メールと判断されているのでこのアドレスは偽装です。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

”Return-Path”や”Message-ID”は上手くごまかしているようですが、”Recevied”で
ぼろが出ました。(笑)
”mail.labtest.org.cn”なんて中国ドメインのアドレスが露呈しています。

では、この”107.150.104.43”ってIPアドレスを使ってそのサーバーの位置情報を
拾ってみましょう！

IPアドレスの利用者はロスにいます！
ただ、それは犯人の所在じゃなく犯人の利用したサーバーの所在地。
しっかり”mail.labtest.org.cn”に割当てられていますね。
これでメールアドレス偽装が確定しました！！

それは、リンクを押させるこじつけの理由

さあて、引続き本文です。

なんすか、このメルマガのようなさわやかな装飾…詐欺師のくせに。(笑)

そんな、お客に影響の出るようなシステム更新を予告なくするわけがありません！
それに本日から使用したいなら24時間以内に認証を行えって？
無理やりにこじつけた理由でその下にあるリンクを押させようとしています。

そのリンク先のURLがこちらです。

”my-ts3card-com.2mjtm.cn”も中国のトップレベルドメインが使われていますね。

このドメインも調べてみましょう。

ドメインは北京にある管理会社に委託されていました。
割り当て国はアメリカとなっていますが、実際はアメリカのどの辺りで使われている
のでしょうか？
では、もう少し詳しい情報を拾ってみます。

サンフランシスコウイルスバスターが表示されました。
あくまでおおよその位置です。

サンフランシスコで運営されてる偽サイトは？

では、そのサンフランシスコに設置されたウェブサーバーで運営されているサイトを覗いて
みます。

まず、フィッシングサイトの可能性があるとウイルスバスターにブロックされました。
これは、詐欺サイトではよくあることです。

無理やり先へ進めてみます。
すると、このようにTS3 TS CUBICCARDカードさんの完コピパクリサイトが表示されました。

悪ですね、ウェブサイトは著作権で守られていますからコピーは違法です！

まとめ

このようなメールが来たら、間髪入れずに削除してください。
もし、どうしても確認したいのであればTS3 TS CUBICCARDカードのスマホアプリで
ログインしてこのような事例が発生しているのか調べてみてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;