『詐欺メール』「三菱UFJ会社から緊急のご連絡」と、来た件

迷惑メール

例によってアルファベットは半角
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合はブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

日本の金融機関が中国のドメインを?!

最近週末は、ブログエントリーも多くなっております。
ただ単に暇なだけですが…(笑)

今朝は、こちらのフィッシング詐欺メールをご紹介します。
って言っても、中身はいつもの通り「第三者の不正利用」を装いリンクに誘い込むもの。

ご覧の通り、差出人以外全てのアルファベットが全角になっていますが、いつも書くように
これは詐欺メールの特徴ですので覚えておいて損はありません。

では、プロパティーから見ていきます。

件名は
「[spam] 三菱UFJ会社から緊急のご連絡」
「緊急のご連絡」なんておどろおどろしい言葉を使い受取人を煽っています。
でも、先頭の”[spam]”が示すようにこのメールには悪意があります。
これはスパムスタンプと呼ばれるもので、受信したサーバーが注意喚起のために追記した
スタンプです。

差出人は
「三菱UFJニコス Net Branch <admin@b5d0xg.cn>」
アドレスのドメイン”.cn”は、中国の物。
最近多いんですよね。
本気で中国ドメインを使って騙せると思っているのでしょうか?
皆さん、日本の金融機関が中国のドメインを使ってユーザーにメールと配信するなんて
絶対にありませんから!
これも覚えておいてくださいね!!


アドレス偽装なし

では、このメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<admin@b5d0xg.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211106230525046152@b5d0xg.cn>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from b5d0xg.cn (unknown [113.31.110.141])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

これは”Received”に記載されていたIPから導き出した情報ですが、リモートホスト欄を見ると
差出人のドメインと同じものが載っていますね。
この結果から、差出人はメールアドレスを偽装することなく自身のメールアドレスで配信
していることが分かります。

ドメインの申請はGmailを使って行われているようで、「阿里巴巴云计算(北京)有限公司」
が管理をしているようです。
そして割当てられている国は「中華人民共和国」


ドメインは海の中?!

本文の内容は、何度も見てきた「第三者不正利用」を騙ったものなので説明は割愛しますが
その先にあるのが、詐欺サイトにつながるリンク。
そのリンク先のURLがこちらです。

ctyyer.cn”…やはり中国のドメインですね。
では、このドメインも調査しましょう。

あ、この申請者の名前、メールドメインで調べた人と一文字違いだ!
そして申請に使われたのもGmail…
これって、もしかしてどちらも同じ人??

割当てられている国は「アメリカ合衆国」とされていますが、もう少し詳しい位置を知りたく
なるのが人情というもの。(笑)
ちゃんと調べておきましたよ。

「アメリカ合衆国 ワシントン州」の海の中…
おおよそ位置なのでご愛敬です。(笑)


リダイレクトさせる意味は?

リンク先に行ってみると、先ほどのURLはリダイレクトされ別のサイトに飛ばされました。
実際に詐欺が行われているそのサイトのURLがこちらです。

djfwgs.cn”…相変わらず中国のドメインですね…(汗)

当然と言えば当然かもしれませんが、このドメインの持ち主は先ほどと同じ方。
そして、割り当て国も「アメリカ合衆国」

それもそのはず、IPアドレスが全く同じ。
ではなぜリダイレクトしたんでしょうか?・・・意味不明…

そして接続して開いたのは「三菱UFJ銀行」の偽サイト。

店番や口座番号とログインパスワードの入力欄が見えています。
絶対に入力しないでくださいよ!!
全部盗み取られて後の祭りになります(^^;


まとめ

今回のポイントも”中国ドメイン”でした。
最近あからさまに中国ドメインを使ったメールアドレスの詐欺メールがやたら多く感じます。
金融機関やショップからくる中国ドメインのメールは、詐欺メールと覚えておきましょう!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました