中国ドメインのメールは?!このブログエントリーで詐欺メール系が600件目を超えました。 内容的にあまり喜ぶべきことではありませんし、世の中的には詐欺メールなんて無くなって ほしいこと。 それにしても500件を超えてからはすさまじい勢いでエントリーが増えていますので 詐欺メールは減ると言うより前にも増して増加しているのを肌で実感しております。 これからも時間の許す限り注意喚起をしていきたいと思いますのでよろしくお願いします。 さて、記念すべき600回目の詐欺メールエントリーは、こちらの内容です。 このメールは、トヨタファイナンスが展開する「TS CUBIC CARD」に成りすました フィッシング詐欺メールです。 本文の内容は、ありがちなシステム更新のためにカードの利用確認を促す内容。 よ~く見ると、差出人のメールアドレスが”.cn”なんて中国のドメインになっています。 これじゃ、「私、中国からメールしています。」って言っているようなもの(笑) では、メールのプロパティーから確認していきましょう。 件名は 「[spam] 【TS CUBIC CARD】カード支払い情報が確認!」 この先頭にある”[spam]”は、うちのサーバーに設置されたスパムフィルターと呼ばれる セキュリティ対策が付加した注意喚起情報。 これが付いていることで受信者は、安易に悪意あるであることを知ることができます。 ところで、「カード支払い情報が確認!」っておかしくない? それに件名に”!”が付いてるメールって大抵ろくなメールじゃないんですが… 差出人は 「”TS CUBIC CARD” <noreply-admin@b9ed082.cn>」 はい、あからさまな中国のトップレベルドメインを使ったメールアドレスですね。 いつも書きますが、日本の金融機関が中国のドメインを使ってユーザーにメールを配信する なんてことは天地がひっくり返ってもございませんので(笑) ”noreply”は「返信できません」って意味。 誰が好き好んでこのようなメールに返信するかって話!(笑)
香港からのメールではこのメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<noreply-admin@b9ed082.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<00a2d43fe435$de703b33$7b486fb2$@fsyvanmobn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from fsyvanmobn (unknown [180.215.120.46])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! あくまでおおよその情報ですが、このIPアドレスは、現在香港で利用されていると出ています。 この結果から、このメールは香港から送られてきたメールのようですね。 脅威のレベルは「低」と出ていますが、そんなはずはありません!
ありがちな「不正利用監視システム」では、メールの本文に目を向けてみましょう。 TS CUBIC CARD「お客様情報の確認」 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ いつも弊社カードをご利用いただきありがとうございます。 昨今の第三者不正利用の急増に伴い、弊社では「不正利用監視システム」を導入し、 24時間365日体制でカードのご利用に対するモニタリングを行っております。 つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。 ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、 予めご了承下さい。 |
いつものことですが、なぜシステム更新のためにユーザーが自分でカードの利用確認など する必要があるのか? それに勝手にシステム更新をしておいて利用確認をしなかったら利用制限をするって どう考えてもおかしいですよね? まぁ、その理不尽さが詐欺メールなんですがね(笑) この項目の下にあるアマゾンの詐欺メールでもよく見かける黄色いボタンに詐欺サイトの リンクが付けられています。 そのリンク先のURLがこちら。 意味の無い”hgjhyy”なんてサブドメインと”.cn“って中国のトップレベルドメインですね。 ではこのドメインの持ち主と割り当て先を確認しましょう。 持ち主は、漢字3文字の氏名でしたが、到底私のような凡人には読めない漢字でした。 「阿里云计算有限公司」ってところがこのドメインの管理を委託されているようです。 割り当て先ですが、いくつかサイトを回って調べてみましたが、このドメインを割当てている IPアドレスが不明なため抽出できなかったようです。 ただし、下のように詐欺サイトは健在ですので注意が必要です。
まとめ相変わらずクレジットカード会社に成りすましたフィッシング詐欺メールが後を絶ちません。 見分けるポイントは、やはりメールアドレスと詐欺サイトのURLでしょうか。 ここに注目すれば必ず見分けられます! メールに疑いを持たないのはそれ以前の問題ですが…(;^_^A それでは、お気を付けてお過ごしください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |