『詐欺メール』「オリコポイント】 ログイン通知」と、来た件

信じる前に是非ヘッダー確認を
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
 

本末転倒、支離滅裂

週中頃は比較的静かだったのに、週末にバタバタと悪質なメールが届いています。
まずはこのオリコカードに成りすましたフィッシング詐欺メールです。

件名に「ログイン通知」とあるのに、本文文頭はいきなり「パスワード変更のお願い」
本末転倒というか、支離滅裂というか…

「ログイン一時停。
止を行いました。」
などと考えられないような誤字もあるし…(;^_^A

では、プロパティーから。

件名
「[spam] 【オリコポイント】 ログイン通知」
しっかり”[spam]”と追記されていますから、内容をみるまでなく迷惑メールだと一目で
分かりますね。(笑)

差出人は
「”オリコポイント” <kwto@orico.co.jp>」
orico.co.jp”と本家のドメインで書かれていますが、本当なのでしょうか?
この差出人の箇所は、意外と誰でも簡単に偽装できますからね。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<kwto@orico.co.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<90989936A27DB11A1282A60B899C02FC@orico.co.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。
Received:「from orico.co.jp (unknown [163.43.133.157])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
このIPの前に”unknown”と書かれていますが、なぜ”unknown”と書かれているか
というと、このIPに対するドメインが見つからなかったことを示しています。
ということは、この時点で”orico.co.jp”を名乗っているのはウソが判明です!

では、このIPアドレスを使って差出人の送信サーバーの情報を拾ってみましょう!

また「さくらインターネット」さんのユーザーの仕業。
最近多いですね…

リモートホストの項目にドメインじゃなくIPアドレスが書かれているので、やはりこのIPには
ドメインが割当てられていません。

よくあるこのパターン

では、本文。

件名に第三者の不正ログインをにおわせるように「ログイン通知」と書かれているのに
本文はいきなり「パスワード変更のお願い」から始まる内容。
そしてその後に第三者不正ログインの話。
でも、途中で…

「ログイン一時停。
止を行いました。」

なんてやらかしちゃっています(笑)

では、このメールの最大の目的でもある「▼ID情報照会・変更」と書かれている下の
詐欺サイトへのリンクを解析してみます。

そのリンク先のURLがこちらです。

例によってあからさまにある”.cn
これは、最近この詐欺に関するメールやサイトでよく見かける中国のトップレベル
ドメインです。

このドメイン、誰がどこで使っているんでしょうか?
調べてみました。

登録申請者は、漢字三文字の氏名の方で、この調査ではほんとよく見かける方。
このドメインを割当ててるIPアドレスから割出された利用国は、韓国と書かれています。

余りにもアバウトな割当て地域なので、他サイトでもう少し詳しい情報を取得してみます。

やっぱりここか…
最近よく見かける地図が出てきました「韓国・キョンギ道・アニャン市」です。

ここに設置されたウェブサーバーでこのような偽サイトが運営されていました。

まとめ

差出人が「さくらインターネット」のユーザーでサイトドメインが”.cn”で、更にサイト
運営が韓国ってのは最近多いパターン。
更に増えそうな気配もあるので気を付けましょう

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メール【オリコポイント】 ログイン通知,Cloudflare,IPアドレス,kwto@orico.co.jp,Message ID,Received,Return-Path,SMS,SPAM,web-orico.cn,クラウドフレア,さくらインターネット,ジャンクメール,ドメイン,なりすまし,パスワード変更のお願い,フィッシング詐欺,ヘッダーソース,メール,ログイン一時停。,ワードサラダ,完コピ偽サイト,拡散希望,注意喚起,第三者の不正ログイン,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart