『詐欺メール』「異常な支払い額の通知 」と、来た件

日本の金融機関が中国奥地からメールを？！

最近「さくらインターネット」ユーザーが差出人の詐欺メールがずっと続いていましたが
今回はどうやら違うグループの犯行のようです。

「VJAグループ」に成りすまし、第三者の不正利用を騙ったフィッシング詐欺メールです。

件名は
「[spam] 異常な支払い額の通知」
”[spam]”と付加されているのでこの時点で詐欺メール確定です。
これはうちの受信サーバーのセキュリティーフィルターが付加したスパムスタンプです。
「異常な支払い額の通知」なんて、おどろおどろしいタイトルですね…(;^_^A
本文になんて書かれているのでしょうか、不安。

差出人は
「VJAグループ <vpass@xingyaokeji021.shop>」
”.shop”…金融機関関連会社がこのようなトップレベルドメイン使いますか？
読んで字の如く「ショップ」ですから、少なくとも使われるのはショッピングサイトです。
それに、この”xingyaokeji021”なんて意味不明のサブドメイン。
「私、詐欺師ですよ～」って言ってるようなものです。
せめて”vpass”にでもしとけばまだ良かったのにね…(笑)

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

あっ、”Received”に”from amazon.server.co.jp”って書いてある。
コイツ、アマゾンに成りすましたメールとソース流用してるわ。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

中国の奥地「寧夏回族自治区・銀川市」と出ました。
こんなところに設置されたメールサーバーを使いこのメールを私に送り付けてきたんです。

えっ「韓国」？？　まさか？！

さて、「異常な支払い額の通知」なんておどろおどろしいタイトルのメール、本文には
どのような脅し文句が書かれているのでしょうか？

あれ？　異常な支払い額なんてどこにも書かれておらず、内容は第三者不正利用の疑いでの
カード利用停止の連絡ですね。
これ、詐欺メールにはよくあること。
本文は変えずに件名を変えて何度も同じ内容のメールを送るからこうなるんです(笑)

「■ご利用確認はこちら」と書かれている部分に詐欺サイトへのリンクが張られています。
そのURLがこちらです。

リンクに隠れていましたが、ドメインは”.cn”なんて中国のドメインです。
それにどこを見ても「VJAグループ」に関連する文字列は見当たりません。

では、この”wqass-index.nrwuoau.cn”ってドメインを調べてみます。

ドメインの持ち主は、漢字三文字の氏名で日本ではなかなか見かけない文字。
そして割り当て国は「韓国」…えっ？？　またあの場所？？

いやいや、このIPアドレスから割出された位置はこちら。

良かったぁ～　例のフィッシング詐欺マンションではなく
「韓国・京畿道(キョンギド)・城南市(ソンナム)」
もちろんおおよその位置なので川の土手になっています(笑)

リンク先へ訪れてみると、即座にウイルスバスターに遮断されてしまいました。

ブロックされたサイトに危険を承知で進んでみますと。
VJAグループのトップページを模したサイトにつながりました。

これ、以前にも見たことあるのですが、各金融機関カードへのリンクが全てきっちり
作りこまれててかなり力を入れたサイト作りになっています。(褒めることじゃありませんが…)

まとめ

「韓国・京畿道」と来たときは、またか？！　と思いましたが、若干違っていましたね。
このところ多かった「さくらインターネット」ユーザーからじゃなかったんで
今回はなんか新鮮味があります(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;