『詐欺メール』Vpassから「お手続き完了のお知らせ」と、来た件

heart

3年前

隣国に詐欺サイトマンションが？！

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

さりげなく危険な香りがするメール

またまたお休みなのにデスクでブログエントリー書いてるってことは、新種の登場です(笑)
三井住友カードVpassになりすまし、ありもしない手続き完了を騙った悪質なフィッシング
詐欺メールです。

本当にVpassユーザーで、免疫のない方がこのようなメールを受け取ったら、と思うと
ぞっとしてしまいます。

では、プロパティーから。

件名は
「[spam] お手続き完了のお知らせ」
うちのサーバーの場合、スパムフィルター備わってるので”[spam]”が付加されてるから
もちろん詐欺メールなのは一目瞭然なんですが、もしそのフィルターが無かったら、絶対に
本文を読んで信じちゃいそうですよね…(・_・;)

差出人
「Vpass <leffrpii@vpass.ne.jp>」
”vpass.ne.jp”は、Vpassの正規ドメインなんですが、こんなの信じてはいけません。
差出人や件名なんていくらでも嘘つけます。

ではこのメールの嘘をヘッダーソースから暴いていきましょう。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<leffrpii@vpass.ne.jp>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<B6471846B8F1C75BB7870F6A0D756EBF@vpass.ne.jp>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received:「from vpass.ne.jp (unknown [153.120.134.72])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
このメールのドメインが本当に”vpass.ne.jp”ならばIPの前が”unknown ”ではなく
”vpass.ne.jp”となるはず。
ここでようやく化けの皮がはがれてしまいましたね…

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

マーキングしておきましたが、差出人は日本のサーバーを使っています。
そして大手レンタルサーバー「さくらインターネット」のユーザーで
それも「石狩データセンター」を使っています。

「三井住友カードレター」とは？

続いて本文を見ていきます。

平素は弊社カードならびにインターネットサービス「Vpass」をご愛用いただき、厚く御礼申し上げます。

この度、「Vpass」にて下記お手続きが完了いたしましたので、本メールにてご案内いたします。

●三井住友カードレターのご登録・解除

不自然さの無い日本語使いです。

件名に書かれていた「お手続き」とは「三井住友カードレターのご登録・解除」のこと
だったんですね。
「三井住友カードレター」は実在するサービスで、三井住友カードによると、三井住友カードレターは、
ユーザーに役立つ情報をお届けするメールサービスでだそうです。

この”おとり”文章の下に「三井住友カードからのお知らせ」と題されたサ-ビス紹介文があり、その中に
詐欺サイトへのテキストリンクがさりげなく張られています。
そのURLがこちらです。

気を付けてくださいよ！
三井住友カードの正規ドメインは”smbc-card.com”
でも、このURLにあるドメインは”smbc-card-web.com”

並べて見ると一目瞭然！

では、この”smbc-card-web.com”は誰が何処で使っているのでしょうか？

調べるまでもないのですが、一応確認だけ。

ドメインの持ち主は「中国・広西チワン族自治区」にお住まいの方。
そして運用先は、予想通り「韓国」
あまりにも広範囲なのでもう少し範囲を絞るべく他のサイトで詳しい位置を拾ってみます。

もちろんIPアドレスから導き出したんでおおよその位置に過ぎませんが
予想通り「韓国・京畿道(キョンギド)・安養市(アニャンシ)」

この地と「さくらインターネット」は最近のトレンド(笑)
どうやらここに詐欺サイトマンションが存在しているようですね！

リンクの先にあるのはVpassのコピーページ。

ここにIDとパスワードを入力すると万事休す。
続いて個人情報やカード情報を入力させられ全てが犯人の手に！

あー怖い怖い。。。(;´Д｀)

まとめ

さりげなく送られてきた今回のメールは、無難な日本語を使いついつい騙されてしまいそうな
シチュエーションを醸し出していましたのでとても危険です！
とにもかくにもこういったログインを促すメールが届いたら、メールのリンクは信じず
必ず用意されたスマホアプリからログインするように心掛けることが肝心です！！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)