サイトアイコン HEARTLAND

『詐欺メール』「異常な支払い額の通知 」と、来た件

 

久々に違うグループ
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
 

日本の金融機関が中国奥地からメールを?!

最近「さくらインターネット」ユーザーが差出人の詐欺メールがずっと続いていましたが
今回はどうやら違うグループの犯行のようです。

「VJAグループ」に成りすまし、第三者の不正利用を騙ったフィッシング詐欺メールです。

件名は
「[spam] 異常な支払い額の通知」
”[spam]”と付加されているのでこの時点で詐欺メール確定です。
これはうちの受信サーバーのセキュリティーフィルターが付加したスパムスタンプです。
「異常な支払い額の通知」なんて、おどろおどろしいタイトルですね…(;^_^A
本文になんて書かれているのでしょうか、不安。

差出人は
VJAグループ <vpass@xingyaokeji021.shop>」
.shop”…金融機関関連会社がこのようなトップレベルドメイン使いますか?
読んで字の如く「ショップ」ですから、少なくとも使われるのはショッピングサイトです。
それに、この”xingyaokeji021”なんて意味不明のサブドメイン。
「私、詐欺師ですよ~」って言ってるようなものです。
せめて”vpass”にでもしとけばまだ良かったのにね…(笑)

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<vpass@xingyaokeji021.shop>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211005015736311028@xingyaokeji021.shop>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received:「from amazon.server.co.jp (unknown [106.45.120.179])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

あっ、”Received”に”from amazon.server.co.jp”って書いてある。
コイツ、アマゾンに成りすましたメールとソース流用してるわ。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

中国の奥地「寧夏回族自治区・銀川市」と出ました。
こんなところに設置されたメールサーバーを使いこのメールを私に送り付けてきたんです。


えっ「韓国」?? まさか?!

さて、「異常な支払い額の通知」なんておどろおどろしいタイトルのメール、本文には
どのような脅し文句が書かれているのでしょうか?

ご本人様のご利用したことを確認できなかったため、あなたのクレジットカードは
取引証明書を受け取りました(JPY 4,9700) 、カードのご利用を停止させていただき、
ご連絡させていただきました。

つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。

■ご利用確認はこちら

あれ? 異常な支払い額なんてどこにも書かれておらず、内容は第三者不正利用の疑いでの
カード利用停止の連絡ですね。
これ、詐欺メールにはよくあること。
本文は変えずに件名を変えて何度も同じ内容のメールを送るからこうなるんです(笑)

「■ご利用確認はこちら」と書かれている部分に詐欺サイトへのリンクが張られています。
そのURLがこちらです。

リンクに隠れていましたが、ドメインは”.cn”なんて中国のドメインです。
それにどこを見ても「VJAグループ」に関連する文字列は見当たりません。

では、この”wqass-index.nrwuoau.cn”ってドメインを調べてみます。

ドメインの持ち主は、漢字三文字の氏名で日本ではなかなか見かけない文字。
そして割り当て国は「韓国」…えっ?? またあの場所??

いやいや、このIPアドレスから割出された位置はこちら。

良かったぁ~ 例のフィッシング詐欺マンションではなく
「韓国・京畿道(キョンギド)・城南市(ソンナム)」
もちろんおおよその位置なので川の土手になっています(笑)

リンク先へ訪れてみると、即座にウイルスバスターに遮断されてしまいました。

ブロックされたサイトに危険を承知で進んでみますと。
VJAグループのトップページを模したサイトにつながりました。

これ、以前にも見たことあるのですが、各金融機関カードへのリンクが全てきっちり
作りこまれててかなり力を入れたサイト作りになっています。(褒めることじゃありませんが…)


まとめ

「韓国・京畿道」と来たときは、またか?! と思いましたが、若干違っていましたね。
このところ多かった「さくらインターネット」ユーザーからじゃなかったんで
今回はなんか新鮮味があります(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了