『詐欺メール』ジャックスカードから「<重要>JACCSカードご利用確認」と、来た件

2021年10月2日

今度はJACCS…
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
 

”Yahei”フォントは100%「×」

昨日は鳴りを静めていた迷惑メールでしたが、今朝は新たな刺客が。。。
今回は「ジャックスカード」に成りすましたもの。

本文は例によって”Yahei”フォントが使われており、背筋がゾクゾクするような読みにくい
中華フォントで文章が綴られています。

読みにくいながらも読み進めていくとその内容は、カードの第三者不正利用の可能性があったの
でカードの利用制限を掛けたと、それを解除したければ掲載したリンクを辿り解除作業をしろ
と言うものです。

それにしてもそろそろ文字化け直したら??(笑)

まずは件名から確認していきます。
「[spam] <重要>JACCSカードご利用確認」
“[spam]”はスパムスタンプで、受信したうちのサーバーが迷惑メールだと気づきふかした警告です。
このスタンプがあることで、悪意のあるメールかどうかを振り分けてくれています。

差出人は。
「株式会社ジャックス <jaccs7@jaccs.co.jp>」
またまた、御冗談を~…
”[spam]”が付いてるメールが”jaccs.co.jp”なんてジャックスカードの正規ドメインを使える
はずがありません(笑)

本当のドメインは”0xs89i.cn

ではてメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「jaccs.co.jp」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<20210930042631574860@jaccs.co.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。
Received:「from jaccs.co.jp (0xs89i.cn [117.50.162.163])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
後で調べますが、IPの前に”0xs89i.cn”って書いてあるんで、差出人の本当の
ドメインはどうやら”0xs89i.cn”と予想できます。

では、このIPアドレスを使ってその様々な情報を拾ってみましょう!

こちらがドメインの登録申請情報。

中国の代行会社が管理しています。
そしてりーもーとホスト欄に見えるドメインは、先程の”Received”で出てきたドメインと
同じものが表示されています。
IPアドレスが使われている地域は中華人民共和国と書かれています。

詐欺サイトはシンガポールに?!

続いて本文を見ていきましょう。

JACCSカードをご利用のお客さま

利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、
誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。

つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。

お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。

何卒ご理解いただきたくお願い申しあげます。

ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい

24時間以内に以下のURLをクリックしてください。

文章的に何も違和感はありませんね。
ただ、何をして本人の利用かどうかを判断しているのかが書かれていないと説得力に欠けますし
違和感はぬぐえません。

で、奴らがどーしても押させたいリンクのURLがこちらです。

ではこのドメインも誰がどこで使っているのでしょうか?
調べてみました。

ほとんどマスクされてて分かりませんね。
それでも「中国・山東省」からの申請で管理しているのはリババのシンガポール支社」って
事が分かりました。

では、このドメインを使ってどこでどのようなことをしているのか。

まず割当ててるIPから割出された場所ですが「シンガポール・セントラル・エリア」
が表示されました。
あくまでおおよそですが、この付近であることは間違いありません。

では、どのような悪事を働いているのか。リンクに接続してみてきました。

まずはリンクをポチっと♪

おっと、ウイルスバスターに遮断されてしまいました。

ブロックされたサイトに無理を承知で進んでみます。

「未来にタネをまこう」って皮肉すぎる…(;^_^A
しかし詐欺サイトには似つかわないさわやかなページですね。

そりゃそうです、ジャックスカードのサイトが爽やかならパクリサイトも当然爽やかに
なりますわね…(笑)

まとめ

ジャックスカードと言えば、僕なんかは「山下達郎のサンデーソングブック」がすぐに
浮かぶんだけど。
そう、昔あの番組のスポンサーだったよね。
今は「楽天カード」に変わっちゃったけど…

そういえば、土曜日の午後にFM東京系でやってる「ポップスベストテン」も
思い起こせば、スポンサーが「ダイアトーン」だったり「コーセー」だったり。
番組内のジングルを懐かしく思い出しちゃいます。

あっ、横道にそれました。
こんな話題じゃなかったんだ…(;^_^A

クレカの数だけ詐欺はある。
世知がない世の中ですね、お互い気を付けましょう。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メール0xs89i.cn,IPアドレス,jaccs.co.jp,JACCSカードご利用確認,Message ID,Received,Return-Path,skyhet909y.top,SMS,SPAM,コーセー,ジャックスカー,ジャンクメール,スポンサ,ダイアトーン,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,ポップスベストテ,メール,ワードサラダ,完コピ偽サイト,山下達郎のサンデーソングブック,拡散希望,未来にタネをまこう,株式会社ジャックス,注意喚起,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart