『詐欺メール』「【三井住友カード】ご利用失敗通知」と、来た件

ありがちな第三者不正利用を騙ったもの

10月は1年で最も気温変動の大きい月と聞きますが、今年もご多分に漏れず中旬に入って
急に寒くなりましたね。
つい先日まで最低気温が22℃とかだったのに今朝はついに10℃。
1週間ほどでこの変動は体に応えます。

さてそんな中、今朝は「三井住友カード」に成りすましたフィッシング詐欺メールの
ご紹介です。

内容は、第三者不正利用の疑いでカードの利用ができなかったと言うもの。

件名は
「[spam] 【三井住友カード】ご利用失敗通知」
“[spam]”が付いているので、このメールは詐欺メールだとして受け取ったサーバーで
処理されています。
それに「失敗通知」なんて件名に使うのも詐欺メールらしいですね。(笑)

差出人は
「”【三井住友カード】” <info@vpass.ne.jp>」
”vpass.ne.jp”なんてVpassの正規ドメインを使っているようですが、これは偽装です。

使いまわしはやめましょう！

ではこのメールをヘッダーソースから偽装を暴いてみましょう！
ソースから抜き出した「フィールド御三家」がこちらです。

やってしまいましたね。
三井住友カードを名乗っているのにヘッダーソース内には”support-amazon.jp”なんて
アカウさんですよね、メールを使いまわすからこういうことが起きるのですよね～

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

結果はこちら。

IPアドレスの割り当て国はロシア。
割り当てているドメインは”vpass.ne.jp”でも”q8aj35.cn”でもなく”cloudbackbone.net”
と出ました。

「保護されていない通信」にご注意を！

では、本文です。

最近ありがちな「第三者不正利用」を騙った手口です。
金額が実に微妙ですよね(笑)

この文章の後に詐欺サイトへのテキストリンクが付けられています。
そのURLがこちらです。

もう賢明の方ならお分かりですよね？
”https”じゃなくて”http”から始まっているので、「保護されていない通信」です。
ブラウザではこのように注意喚起がなされます。

使われているドメインは「smbc-crad.com.ip.sznicepeak.com.cn」
“com”2つに”cn”1つ。。。いくつトップレベルドメイン入れてあるの？(笑)
まず、このドメインの持ち主を調べてみました。

日本ではあまり見かけない漢字3文字の氏名の方で、ドメイン管理はアリババに委託。

そしてこのドメインを割当てているIPアドレスから割出された位置情報はこちら。

おおよその位置ではありますが「アメリカ・カリフォルニア州・カラバサス」です。
この場所は、詐欺サイトの調査ではよく出来るところ。
ここにも詐欺サイトマンションがあるようです(汗)

サイトを訪れてみましたがウイルスバスターにブロックされて到達できませんでした。

まとめ

「失敗通知」なんて件名からしてなんとなく怪しいこのメール。
皆さんはお気づきになるでしょうか？
他にもソースで見かけた三井住友カードには全く関係の無い”support-amazon.jp”なんて
カウント名は決定的な証拠でしたね。
詐欺メールには、必ずウソを見破るポイントが潜んでいます。
騙されないようにスキルアップを心がけてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;