存在しないメールアドレスからの通知週明けは、やっぱりブラックなメールが多い(汗) 複数あるのでちゃちゃっと処理していこうと思います。 まず第一弾はこちらのメール。 件名は 「[spam] カードご利用金額をお知らせいたします」 ”[spam]”とありますのでこのメールは詐欺メールだと一目でわかりますよね。 この”[spam]”はスパムスタンプと呼ばれるもので、受信サーバーにあるセキュリティーが 付加した注意喚起です。 さもカードが利用されたような件名ですね。 私、三井住友のカードを持ち合わせていないので全然平気です(笑) 差出人は 「三井住友カード <zxittkidj@hiafsz.biz>」 同じメールがもう1通別のメールアドレスにも届いていたのですが、差出人のアドレスが 違っていました。 怪しいなと思ってこのメールアドレスに使われているドメインを検索してみましたが どのIPアドレスにも割り当てられていない偽のアドレスだと分かりました。
またしても「さくらインターネット」ユーザーでは、このメールをヘッダーソースから調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<zxittkidj@hiafsz.biz>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<EFDEC6DC38528BEBDD4B3A32BC4E35D5@hiafsz.biz>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from hiafsz.biz (unknown [133.242.68.129])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! 結果はこちら。 脅威レベルは「高」で、脅威の詳細は「サイバーアタックの攻撃元」 攻撃対象は、メールと出ていますのでとても危険なメールであることが分かります。 そして、プロバイダー名が「SAKURA Internet Inc.」と書かれているのでこの差出人は またしても「さくらインターネット」のユーザーです。 更に、差出人が利用したであろうサーバーの位置情報は、地図で表示されたように あくまでおおよそですが長野県上田市長和町と表示されています。
遅すぎる利用通知いつも三井住友カードをご利用頂きありがとうございます。 お客様のカードご利用内容をお知らせいたします。ご利用カード:三井住友カードVISA ◇2021/08/28現在のカードご利用金額をお知らせいたします。 ◇カードご利用金額: -236,278円 |
これが本文の内容です。 これによるとこのメールは、三井住友VISAカードを利用して 236,278円 使われたことの 報告です。 ただ、今日が11月8日ですが、メールでは8月28日現在とされているので利用金額の通知だと したら連絡が遅すぎます。 そして、例によってアルファベットが全角。 これ、詐欺メールの特徴ですから覚えておいてください。 このメールを信じた当然受信者は、このような金額の利用がありませんから不正利用の疑いを 持ってメールに付けられたリンクを押そうとします。 これが差出人の第一の目的。 そのリンクは直書きされたURL部分に付けられています。 リンク先のURLがこちらです。 使われているドメインは”smbc-card-point.com” ドメインの持ち主は「中国広西チワン族自治区来賓市」にお住まいの方で、このドメインを 割当ててるIPアドレスは”115.144.69.76” このIPアドレスの情報がこんな感じです。 さくらインターネットと韓国ソウル市はワンセット(笑) 脅威レベルはこちらも「高」で「脅威の詳細」は「Webでのサイバーアタック」と出ています。 接続先は、三井住友カードVpassの偽のログイン画面でした。 ここにたどり着くまでにウイルスバスターに遮断されたことも併せてご報告しておきます。
まとめもう「さくらインターネット」と「韓国ソウル市」は、当たり前にワンセットに なってきました。 メール、ウェブサイト共に脅威レベルは「高」と出ているのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |