『詐欺メール』「【三井住友カード】ご利用失敗通知」と、来た件

三井住友カードなのにアマゾンが出てきちゃった(笑)

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. ありがちな第三者不正利用を騙ったもの
2. 使いまわしはやめましょう！
3. 「保護されていない通信」にご注意を！
4. まとめ

ありがちな第三者不正利用を騙ったもの

10月は1年で最も気温変動の大きい月と聞きますが、今年もご多分に漏れず中旬に入って
急に寒くなりましたね。
つい先日まで最低気温が22℃とかだったのに今朝はついに10℃。
1週間ほどでこの変動は体に応えます。

さてそんな中、今朝は「三井住友カード」に成りすましたフィッシング詐欺メールの
ご紹介です。

内容は、第三者不正利用の疑いでカードの利用ができなかったと言うもの。

件名は
「[spam] 【三井住友カード】ご利用失敗通知」
“[spam]”が付いているので、このメールは詐欺メールだとして受け取ったサーバーで
処理されています。
それに「失敗通知」なんて件名に使うのも詐欺メールらしいですね。(笑)

差出人は
「”【三井住友カード】” <info@vpass.ne.jp>」
”vpass.ne.jp”なんてVpassの正規ドメインを使っているようですが、これは偽装です。

使いまわしはやめましょう！

ではこのメールをヘッダーソースから偽装を暴いてみましょう！
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<support-amazon.jp@q8aj35.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
でも、このメールの場合”support-amazon.jp”なんてアカウント名出てきちゃって
いるので、詐欺メール流用疑惑発覚です。(笑)

Message-ID:「Message-ID: <20211020212720732477@q8aj35.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail.q8aj35.cn (unknown [45.156.27.245])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

やってしまいましたね。
三井住友カードを名乗っているのにヘッダーソース内には”support-amazon.jp”なんて
アカウさんですよね、メールを使いまわすからこういうことが起きるのですよね～

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

結果はこちら。

IPアドレスの割り当て国はロシア。
割り当てているドメインは”vpass.ne.jp”でも”q8aj35.cn”でもなく”cloudbackbone.net”
と出ました。

「保護されていない通信」にご注意を！

では、本文です。

いつも弊社カードをご利用いただきありがとうございます。

下記の通りのご利用を受け付けましたが、記載の理由により処理ができませんでした。
■ご利用日時
2021/10/20 15:53:46

■ご利用金額
28.230円

■ご利用失敗理由
ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、
誠に勝手ながら、カードのご利用を一部制限させていただき、ご確認させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。

最近ありがちな「第三者不正利用」を騙った手口です。
金額が実に微妙ですよね(笑)

この文章の後に詐欺サイトへのテキストリンクが付けられています。
そのURLがこちらです。

もう賢明の方ならお分かりですよね？
”https”じゃなくて”http”から始まっているので、「保護されていない通信」です。
ブラウザではこのように注意喚起がなされます。

使われているドメインは「smbc-crad.com.ip.sznicepeak.com.cn」
“com”2つに”cn”1つ。。。いくつトップレベルドメイン入れてあるの？(笑)
まず、このドメインの持ち主を調べてみました。

日本ではあまり見かけない漢字3文字の氏名の方で、ドメイン管理はアリババに委託。

そしてこのドメインを割当てているIPアドレスから割出された位置情報はこちら。

おおよその位置ではありますが「アメリカ・カリフォルニア州・カラバサス」です。
この場所は、詐欺サイトの調査ではよく出来るところ。
ここにも詐欺サイトマンションがあるようです(汗)

サイトを訪れてみましたがウイルスバスターにブロックされて到達できませんでした。

まとめ

「失敗通知」なんて件名からしてなんとなく怪しいこのメール。
皆さんはお気づきになるでしょうか？
他にもソースで見かけた三井住友カードには全く関係の無い”support-amazon.jp”なんて
カウント名は決定的な証拠でしたね。
詐欺メールには、必ずウソを見破るポイントが潜んでいます。
騙されないようにスキルアップを心がけてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)