アドレス偽装の見分け方いつの間にか知らないうちにスパムメールブログエントリーが550本超えていました(^^; なんか最近エントリー率増えてる感じ… 減らないと言うか、額に増えてます(-_-;) さて、今朝も日曜だというのにいくつもの新しいタイプのフィッシング詐欺メールが 届いています。 被害者が増えないうちにご紹介しようと思います。 今回は「TS CUBICCARDカード」になりすまし、システム更新中にカードを使うために リンクへアクセスするように誘導し個人情報とカード情報を盗み取ろうとするもの。 
件名は 「[spam] TS3 TS CUBICCARDカード【重要:必ずお読みください】」 ”[spam]”は、うちのサーバーがこのメールに敏感に反応した証のスパムスタンプです。 これがあることで、このメールに悪意があると判断できるので助かります。 差出人は 「トヨタファイナンス株式会社 <info@ts3card.com>」 ”ts3card.com”は、TS CUBIC CARDさんの正規ドメインですが、すでにこのメールが フィッシング詐欺メールと判断されているのでこのアドレスは偽装です。 ではこのメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<info@ts3card.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20210917233846735454@ts3card.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ts3card.com (mail.labtest.org.cn [107.150.104.43])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Return-Path”や”Message-ID”は上手くごまかしているようですが、”Recevied”で ぼろが出ました。(笑) ”mail.labtest.org.cn”なんて中国ドメインのアドレスが露呈しています。 では、この”107.150.104.43”ってIPアドレスを使ってそのサーバーの位置情報を 拾ってみましょう!  IPアドレスの利用者はロスにいます! ただ、それは犯人の所在じゃなく犯人の利用したサーバーの所在地。 しっかり”mail.labtest.org.cn”に割当てられていますね。 これでメールアドレス偽装が確定しました!!
それは、リンクを押させるこじつけの理由さあて、引続き本文です。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ★。.:*:TS CUBIC CARD会員個人情報変更。★。.:*: ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 当社はセキュリティシステムの大幅なアップグレードを実施しているため、個人情報の 再認証が完了するまで、TS CUBIC CARDメンバーのサービスはすべて停止されます。 本日から、TS CUBIC CARDメンバーのユーザーが通常使用したい場合は、24時間以内に 以下の個人情報改善認証を行う必要があります承認後にのみ使用できます |
なんすか、このメルマガのようなさわやかな装飾…詐欺師のくせに。(笑) そんな、お客に影響の出るようなシステム更新を予告なくするわけがありません! それに本日から使用したいなら24時間以内に認証を行えって? 無理やりにこじつけた理由でその下にあるリンクを押させようとしています。 そのリンク先のURLがこちらです。  ”my-ts3card-com.2mjtm.cn”も中国のトップレベルドメインが使われていますね。 このドメインも調べてみましょう。  ドメインは北京にある管理会社に委託されていました。 割り当て国はアメリカとなっていますが、実際はアメリカのどの辺りで使われている のでしょうか? では、もう少し詳しい情報を拾ってみます。  サンフランシスコウイルスバスターが表示されました。 あくまでおおよその位置です。
サンフランシスコで運営されてる偽サイトは?では、そのサンフランシスコに設置されたウェブサーバーで運営されているサイトを覗いて みます。 まず、フィッシングサイトの可能性があるとウイルスバスターにブロックされました。 これは、詐欺サイトではよくあることです。  無理やり先へ進めてみます。 すると、このようにTS3 TS CUBICCARDカードさんの完コピパクリサイトが表示されました。  悪ですね、ウェブサイトは著作権で守られていますからコピーは違法です!
まとめこのようなメールが来たら、間髪入れずに削除してください。 もし、どうしても確認したいのであればTS3 TS CUBICCARDカードのスマホアプリで ログインしてこのような事例が発生しているのか調べてみてください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |