『詐欺メール』「三菱UFJ銀行-お客さまの口座間送金管理 」と、来た件

差出人名で文字化け？？

今週もこのメールから始まりました。
「三菱UFJ銀行」に成りすましたフィッシング詐欺メールです。

「お客様の【三菱UFJ銀行】」って、この括弧いります？
って言うか、件名で「三菱UFJ銀行」を名乗ってるんだからここには必要ないと思うのですが…
それにどことなくカタコト…
そして「-時的に」の”一”がハイフンになってるし。(笑)

では、プロパティーから。

件名は
「[spam] 三菱UFJ銀行-お客さまの口座間送金管理」
“[spam]"が付加されているのでこのメールは悪意のあるもの。
“[spam]"はスパムスタンプで、うちの受信サーバーが付加したセキュリティー警告です。

差出人は
「三菱UFJフィナンシャル?グループ <rxysuqn@mufg.jp>」
”？”の部分は何なんでしょう…こっちが？です。
これはきっと、文字化け。

”mufg.jp”は三菱UFJ銀行の正規ドメインですが、こんなのは偽装。
それにその前にある”rxysuqn”なんてアカウント名はあり得ません。
企業さんなら必ず意味あるアカウントを付けるはず、それなのにこんな滅茶苦茶のアカウント
は絶対ありません。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

これによると、IPアドレスの割り当て地は「アメリカ・バージニア州・レストン」
この位置情報は、差出人の所在ではなく差出人が利用したメールサーバーの位置。
三菱UFJ銀行がこのような場所からメールを配信することはありません。

リンク偽装発覚！？

では、本文を見ていきます。

改めて見てみると、「三菱UFJ」が二度出てきますね。
なぜそんなに強調する必要があるんでしょうか？
逆に違和感がわいてきますよね？

この項の下にあるのが詐欺サイトへのリンク。
本文には、テキストリンクでこのようなURLが記載されています。

また、メールアドレスと同じように三菱UFJ銀行の正規ドメインが使われていますね。
でも、これも偽装。
リンクをクリックしてみると、愛用のThunderbirdからこのような警告が表示されました。

そして、実際にリンクされるURLがこちら。

全然違うじゃん。(;^_^A

ここで使われている””ってドメインも調べてみましょう。

この結果から分かるのは、割当ててるIPアドレスは"172.67.210.147”で、持ちぬ時は
「中国・山西省」在住の方。

このIPアドレスの割り当て地は「アメリカ・カリフォルニア州・サンフランシスコ」

実はこのメール、受信したのは一昨日。
詐欺サイトの旬は短くてリンク先に行ってみましたが残念ながら既に接続できない状態と
なっていました。
目的を達成したのか、それとも当局に嗅ぎつかれたのか、私には分かりませんが…

まとめ

差出人名で文字化けってあり得ないミスを犯してる詐欺メールですね。(笑)
それにしても詐欺サイトの旬は相変わらず短いものです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;