Vpassのドメインは”vpass.ne.jp”ですよ!ほんと次から次へとよくもまあ手を変えて送ってこられるものです、詐欺メールを。 知ってます?「VJAグループ」って。。。 調べたら「全国の主な銀行・金融機関系カード会社等で構成するVisaカード発行企業の アソシエーション」だそうです…(^^;)ケッキョクヨクワカリマセン 本文にはVpassと書いてあります。 Vpassと言えば、三井住友カードの会員向けのインターネットサービスでも出てくる名称。 調べてみると、三井住友ばかりではなく他の金融機関でも使われているサービスでした。 では、プロパティーから見ていましょう。 件名は。 「[spam] 異常な支払い額の通知 」 事の大きさをイメージさせるためのこんな大げさな件名です。 でも、サーバーが”[spam]”ってメッセージを残してくれてるんで一目で詐欺メールだと 分かります。 差出人は 「vpass-update@fjkc4ra.cn」 またあからさまに中国のトップレベルドメイン使ってるし… こんなのでも騙される人いるんだから困ったものです。┐(´д`)┌ヤレヤレ Vpassの正規ドメインは”vpass.ne.jp“です! これ以外のドメインを使ったメールは偽物ですからお間違え無く!!
中国ドメインのメールアドレスも偽装ではメールをヘッダーソースから調査してみウソを見破ります。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<vpass-update@fjkc4ra.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20210919044601130117@fjkc4ra.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。 ここも偽装可能で鵜呑みにはできません。 | Received:「from amazon.server.co.jp (unknown [124.224.54.93])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
”Recevied”よく見てください。 ”from amazon.server.co.jp ”なんて記載されていますよね。 この差出人は、ほかにもアマゾンを騙った詐欺メールも送ってて、このメールと使い まわして使っているいるようですね。(笑) では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! このIPアドレスは、現在ちゅごくで使われていると出ています。 それに”ドメイン”の項目にIPアドレスが記載されているので、差出人のメールアドレスに 使われている”fjkc4ra.cn”ってドメインも偽装の可能性が出てきました。 じゃ、このドメインのIPアドレスはどうなっているんでしょうか? 調べてみるとこのように全然違うIPアドレスが表示されましたので、やはりメールアドレスは 偽装が確定しました。
詐欺サイトは相当手の込んだものさて、本文を見ていきます。 ご本人様のご利用したことを確認できなかったため、あなたのクレジットカードは 取引証明書を受け取りました(JPY 4,9700) 、カードのご利用を停止させていただき、 ご連絡させていただきました。つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。 |
本文に宛名の無いメールは怪しいと思ってください! 内容は、第三者の不正利用を装ったフィッシング詐欺メールですね。 この煽るような本文の末尾には、フィッシング詐欺を行うために作られた完コピ偽装サイトが 待ち受けています。 そのリンク先のURLがこちらです。 またあからさまな中国ドメインですね。 この”vvpees-me-index.jsekzbo.cn”ってドメインも調べてみます。 詳しい情報は出てきませんでしたが、北京のドメイン管理会社に管理を委託してありました。 では、そのドメインを割当ててるIPアドレス、すなわち偽の詐欺サイトを営むサーバーの 場所はどこにあるのでしょうか? 別のサイトで調べてみると、隣国の首都が表示されました。 あくまでおおよその位置情報ですが、観光スポットの明洞あたりにそのサーバーが設置され ているようですね。 では、危険を承知でそのサイト訪れてみましょう。 2度ほどウイルスバスターにブロックされましたが、たどり着いたのはVJAグループの一覧が 掲載されたサイトです。 ただ単にこれだけのページかと思ったら違ったんです! 試しに「三井住友トラストVISAカード」のリンクを押してみると。 しっかり「三井住友トラストVISAカード」トップページの完コピ偽サイトが表示されました。 そのほかの金融機関名カードの書かれたリンクを覗いてみると、それぞれちゃんと偽サイトに つながりました。 結構しっかり作り込んでありました…(^^;
まとめサイトの本気度はうかがえましたが、残念ながら初っ端のメールアドレスがこれじゃね… 皆さんも、このサイトをご覧になりスキルアップされて被害防止に役立てていただければ 幸いです(^^♪ いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |