『詐欺メール』一時利用停止編「【PayPay】ご利用のお知らせ」と、来た件

「さくらインターネット」さんのユーザーが犯人?!
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

paypay”さんの正規ドメインは”paypay.ne.jp”です

以前に同じような件名のメールをご紹介していますが、その時は単なる第三者不正利用を
騙ったものでしたが、同じ件名ながら今回はそれに加えアカウントの一時停止も追加されて
いますので改めてご紹介します。

相変わらず中華フォントのメールですね。(笑)

では、メールのプロパティーから見ていきます。

件名は
「[spam] 【PayPay】ご利用のお知らせ5:11:58」
先頭の”[spam]”は、うちの受信サーバーのセキュリティー装置が付加したスパムスタンプ。
これでこのメールに悪意のあることを受信者に知らせています。
ですからこのメールはスパムメール、すなわち迷惑メール。
末尾の数字は単なるタイムスタンプで、このメールの信憑性を高める目的で付けられている
ものと思われます。

差出人は
「"paypay" <admin@paypayneiougg.com>」
paypay”さんの正規ドメインは”paypay.ne.jp”ですからこのメールアドレスは”paypay”さん
のものじゃありません。
”paypayneiougg.com”なんてドメインもきっと偽装でしょう。

JCBの詐欺メールを流用?!

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<admin@paypayneiougg.com>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「Message-ID: <00e1b94c3133$2f539f32$080583bc$@my.jcb.co.jp>」

あらあら”my.jcb.co.jp”なんて出てきちゃいましたね。(笑)
この方、JCBの詐欺メールも作ってらっしゃるみたいです…
せっかく作るのだったら下手に流用なんてやめた方が良いと思いますがね。

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from a0.paypayneiougg.com (ik1-422-43348.vs.sakura.ne.jp [153.127.49.102])」

sakura.ne.jp”と出てるので、この方は「さくらインターネット」さんのユーザー。
Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

やはり「さくらインターネット」さんの名前が出てきましたね。

IPアドレスの所在地を調べても「さくらインターネット」さんのサーバーの位置情報しか
捉えられないのでやめておきます。

IPの脅威レベルは「高」

続いて、本文を見ていきましょう。

お客様の【PayPay】アカウントは異なる端末からのアクセスを確認いたしました。
アカウントは一時利用停止されました、
【PayPay】アカウントの資金安全を確保するためにご本人でセキュリティ強化、
再開手続きの設定してださい。

「アカウントは異なる端末からのアクセスを確認いたしました」とあるので、いつも
利用しているデバイスとは違うデバイスからアクセスがあったって事でしょうね。
それでアカウントが停止されたようです。
でも、よく考えてみると、例えば新しい端末を購入したかもしれないですよね?
そんなことでいちいちアカウントが停止されるのでしょうか?
機種変更していたとしたら、もう一生アカウントは解除されないことになります。(笑)
まぁ、詐欺メールの上げ足取っていても仕方ないんですがね。

ログインして設定しろと書かれている下に例によって詐欺サイトへのリンクが
付けられています。
テキストリンクに書かれているのはこのURL。

きちんと”paypay”の正規ドメインが書かれていますが、そんなのは間違いなくリンク偽装。
本当にリンクされているURLはこちらです。

使われているドメイン”paypay.ne.no-replybe.com”を調査してみました。
このドメインの持ち主は、国内の方で「東京都渋谷区」にお住まいの方。
「Creation Date: 2021-10-25T17:30:54Z」とあるので取得したばかりです。

割当てられているIPアドレスは”155.94.205.253”
このIPアドレスを使って、その割り当て位置を確認してみます。

これによると、割り当て地は「アメリカ・カリフォルニア州・ロサンジェルス」
IPアドレスの脅威レベルは「高」となっているので、相当危険と評価されています。

本当に騙そうとしているの?

危険とされていても見たくなるのが人のサガ。
ってなわけでちょっとだけ覗いてみます。
するとPayPayのログイン画面を模したページが表示されました。
適当に入力し「ログイン」と書かれたボタンを押してみます。

すると、認証番号がSMSで送られたようです。
もちろんでたらめなので、私のスマホには何も届きません。
(認証番号が届いた方すいません…)
適当な数字を6つ入れてみます。

インジケーターがくるくる回るだけでいくら待っても次のページに到達しませんでした。

どんな数字を入れても同じことでしたので、SMSへの認証番号送付なんて嘘でしょう。
ということは、愉快犯ってことになりますね。

まとめ

「さくらインターネット」さんのユーザーが差出人の詐欺メールは最近よく見かけますが
今までのは詐欺サイトが隣国でした。
でも今回は「ロサンジェルス」と出ているのでもしかしたら別の奴の犯行の可能性も
ありますね。
愉快犯だとしても、メールアドレスを偽装しているし偽サイトも作っているので犯罪です。
皆さんもこのようなメールを受け取っても絶対に信じないようにご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メール【PayPay】ご利用のお知らせ,IPアドレス,Message ID,my.jcb.co.jp,PayPay,paypay.ne.jp,paypay.ne.no-replybe.com,Received,Return-Path,sakura.ne.jp,SMS,SPAM,アカウントは一時利用停止,アカウントは異なる端末からのアクセスを確認いたしました,さくらインターネット,ジャンクメール,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メール,ロサンジェルス,ワードサラダ,中華フォント,完コピ偽サイト,拡散希望,東京都渋谷区,注意喚起,脅威レベル,著作権法違反,詐欺,詐欺サイト,詐欺メール,詐欺メールを流用,認証番号,調査,迷惑メール,重要

Posted by heart