サイトアイコン HEARTLAND

『詐欺メール』「三菱UFJ銀行-お客さまの口座間送金管理 」と、来た件

三菱UFJを強調し過ぎ
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

差出人名で文字化け??

今週もこのメールから始まりました。
「三菱UFJ銀行」に成りすましたフィッシング詐欺メールです。

「お客様の【三菱UFJ銀行】」って、この括弧いります?
って言うか、件名で「三菱UFJ銀行」を名乗ってるんだからここには必要ないと思うのですが…
それにどことなくカタコト…
そして「-時的に」の”一”がハイフンになってるし。(笑)

では、プロパティーから。

件名は
「[spam] 三菱UFJ銀行-お客さまの口座間送金管理」
“[spam]”が付加されているのでこのメールは悪意のあるもの。
“[spam]”はスパムスタンプで、うちの受信サーバーが付加したセキュリティー警告です。

差出人は
「三菱UFJフィナンシャル?グループ <rxysuqn@mufg.jp>」
”?”の部分は何なんでしょう…こっちが?です。
これはきっと、文字化け。

”mufg.jp”は三菱UFJ銀行の正規ドメインですが、こんなのは偽装。
それにその前にある”rxysuqn”なんてアカウント名はあり得ません。
企業さんなら必ず意味あるアカウントを付けるはず、それなのにこんな滅茶苦茶のアカウント
は絶対ありません。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<rxysuqn@mufg.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211023014705448303@mufg.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mufg.jp (unknown [152.32.151.245])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

これによると、IPアドレスの割り当て地は「アメリカ・バージニア州・レストン」
この位置情報は、差出人の所在ではなく差出人が利用したメールサーバーの位置。
三菱UFJ銀行がこのような場所からメールを配信することはありません。


リンク偽装発覚!?

では、本文を見ていきます。

お客様の【三菱UFJ銀行】口座・通帳一時利用停止中、再開のお手続きの設定してください。
あなたの三菱UFJ口座にはリスクが検出されましたので、
口座の資金安全を確保するために、-時的にこの口座を制限します。
正常な利用に影響しないように、ご自分で制限を解除してください。

改めて見てみると、「三菱UFJ」が二度出てきますね。
なぜそんなに強調する必要があるんでしょうか?
逆に違和感がわいてきますよね?

この項の下にあるのが詐欺サイトへのリンク。
本文には、テキストリンクでこのようなURLが記載されています。

また、メールアドレスと同じように三菱UFJ銀行の正規ドメインが使われていますね。
でも、これも偽装。
リンクをクリックしてみると、愛用のThunderbirdからこのような警告が表示されました。

そして、実際にリンクされるURLがこちら。

全然違うじゃん。(;^_^A

ここで使われている””ってドメインも調べてみましょう。

この結果から分かるのは、割当ててるIPアドレスは”172.67.210.147”で、持ちぬ時は
「中国・山西省」在住の方。

このIPアドレスの割り当て地は「アメリカ・カリフォルニア州・サンフランシスコ」

実はこのメール、受信したのは一昨日。
詐欺サイトの旬は短くてリンク先に行ってみましたが残念ながら既に接続できない状態と
なっていました。
目的を達成したのか、それとも当局に嗅ぎつかれたのか、私には分かりませんが…


まとめ

差出人名で文字化けってあり得ないミスを犯してる詐欺メールですね。(笑)
それにしても詐欺サイトの旬は相変わらず短いものです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了