『詐欺メール』「オリコポイント】 ログイン通知」と、来た件

本末転倒、支離滅裂

週中頃は比較的静かだったのに、週末にバタバタと悪質なメールが届いています。
まずはこのオリコカードに成りすましたフィッシング詐欺メールです。

件名に「ログイン通知」とあるのに、本文文頭はいきなり「パスワード変更のお願い」
本末転倒というか、支離滅裂というか…

「ログイン一時停。
止を行いました。」
などと考えられないような誤字もあるし…(;^_^A

では、プロパティーから。

件名
「[spam] 【オリコポイント】 ログイン通知」
しっかり”[spam]”と追記されていますから、内容をみるまでなく迷惑メールだと一目で
分かりますね。(笑)

差出人は
「”オリコポイント” <kwto@orico.co.jp>」
”orico.co.jp”と本家のドメインで書かれていますが、本当なのでしょうか？
この差出人の箇所は、意外と誰でも簡単に偽装できますからね。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使って差出人の送信サーバーの情報を拾ってみましょう！

また「さくらインターネット」さんのユーザーの仕業。
最近多いですね…

リモートホストの項目にドメインじゃなくIPアドレスが書かれているので、やはりこのIPには
ドメインが割当てられていません。

よくあるこのパターン

では、本文。

件名に第三者の不正ログインをにおわせるように「ログイン通知」と書かれているのに
本文はいきなり「パスワード変更のお願い」から始まる内容。
そしてその後に第三者不正ログインの話。
でも、途中で…

「ログイン一時停。
止を行いました。」

なんてやらかしちゃっています(笑)

では、このメールの最大の目的でもある「▼ＩＤ情報照会・変更」と書かれている下の
詐欺サイトへのリンクを解析してみます。

そのリンク先のURLがこちらです。

例によってあからさまにある”.cn”
これは、最近この詐欺に関するメールやサイトでよく見かける中国のトップレベル
ドメインです。

このドメイン、誰がどこで使っているんでしょうか？
調べてみました。

登録申請者は、漢字三文字の氏名の方で、この調査ではほんとよく見かける方。
このドメインを割当ててるIPアドレスから割出された利用国は、韓国と書かれています。

余りにもアバウトな割当て地域なので、他サイトでもう少し詳しい情報を取得してみます。

やっぱりここか…
最近よく見かける地図が出てきました「韓国・キョンギ道・アニャン市」です。

ここに設置されたウェブサーバーでこのような偽サイトが運営されていました。

まとめ

差出人が「さくらインターネット」のユーザーでサイトドメインが”.cn”で、更にサイト
運営が韓国ってのは最近多いパターン。
更に増えそうな気配もあるので気を付けましょう

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;