『詐欺メール』続「三井住友カード【重要】」と、来た件

本文のど初っ端からやらかしています(笑)

昨日、このようなブログをエントリーしました。

『詐欺メール』「三井住友SMBC【重要】」と、来た件

これと全く同じ件名で中身の異なるメールが届いていたので続編としてご紹介します。

昨日のは、白黒で味気ないメールでしたが、今回のメールはSMBCらしい緑色をあしらった
ものです。
ただ、これも本文のど初っ端からやらかしています。
最初にある「本」ってのは何の意味なのでしょうか？
どうせこのメールもアマゾンや楽天の詐欺メールに使ったものを流用しコピペしてるんで
貼り付けミスかなんかでしょうけど…(笑)

では、いつものようにメールのプロパティーから見ていきます。

件名は
「[spam] 三井住友カード【重要】」
先回はサーバーのセキュリティーがさぼって”[spam]”付け忘れていましたが、今回はちゃんと
機能しているようですね。
これは、うちのメールサーバーがこのメールに反応し付加したセキュリティー警告で、
このメールに悪意のあることを喚起してくれる機能です。

差出人は、このメールの受取人と同じ、すなわち私のメールアドレスが記載されています。
送信者が自分のメールを受け取ったら不審に思うからこのメールに騙される人なんて
絶対に居ないでしょう。

”Return-Path”で見つけたドメインは誰の？

では、メールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

”Return-Path”に記載されているドメイン”tako.ne.jp”をちょっと調べてみました。

広島県にある「TAKOインターネットサービス」と断定できましたが、このサービスは
どうやら2012年にサービスを終了しているようです。
きっと、この差出人はどこかの流出リストから見つけたドメインを使って偽装したようです。

では、”Received”に記載されているこのIPアドレス”148.66.12.234”を使ってそのサーバーの
位置情報を拾ってみましょう！

これによると、差出人が利用したサーバーは「香港」でした。

ドメインもアマゾンの使いまわし

では、本文です。

最初の「本」がすごく気になるのは私だけでしょうか？
それに上げ足取るわけじゃありませんが「正確な情報は必ず記入してください」の
”は”は”を”の間違いですよね？
あ、もしかしてあなた、日本の方じゃありませんね？(笑)

本文は、例によって「第三者不正利用」を騙った内容です。
「ご利用確認はこちら」と書かれた箇所に詐欺サイトへのリンクが付けられています。
そのリンク先のURLがこちら。

でも、このURLは見せ掛けだけで接続しるとリダイレクトされて別のURLに飛ばされました。
実際に詐欺サイトとして運営されているURLはこちらです。

”yahoo.co.jp@”が削られていますが、使われているドメインはどちらも”amacon.servcc-jp.cc”
ちょっと待って、”amacon”って”amazon”に似ていますが…もしかしてあからさまにアマゾンの
詐欺サイトの使いまわしってこと？？

まぁそんなことは良いや。
このドメインの持ち主と割り当て地調査してみます。

結果は、フィッシング詐欺メールのご常連さん。
「アメリカ・アリゾナ州・フェニックス」にお住まいの方がお持から割り当て地を調査。

割り当て地は「アメリカ・カリフォルニア州・ロサンジェルス」
詐欺師はこの地でこのようなサイトを運営していました。

三井住友銀行のクレジットカード会員用専用サイトVpassのコピーサイトです。
この偽サイトを使い、被害者の個人情報やカード情報などを盗み取るのです。

まとめ

差出人のメールアドレス、本文のミス、そしてとどめは詐欺サイトドメインの使いまわし。
これだけネタが揃っていても誰かがどこかで騙されていると思うと悲しくなります。
もし何かの検索とかでここを訪れた方、ほんの少しだけで良いのでヒントをつかんで
帰っていただけると幸いです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;