『詐欺メール』「【USC】一時的な利用停止、ログインして確認してください」と、来た件

heart

3年前

開封確認を求める詐欺メール

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

開封通知なんてするものか！

相変わらず朝もメールボックスにはたっぷりの詐欺メールが届いています。
そんな中で、コイツだけ開封確認の通知を求められました…(^-^;

もちろん拒否しましたが、フィッシング詐欺メールの送り主が開封したかどうか確認する
必要なんてあるのでしょうか？(笑)

では今回はこのメールをご紹介しようと思います。

件名は
「[spam] 【USC】一時的な利用停止、ログインして確認してください739621407」
末尾の数字は、信憑性を持たせるための通し番号のつもりなんでしょうけど、誰もそんなの
信じません。
そして先頭の”[spam]”は、スパムスタンプでこのメールに悪意があることを受信したサーバーの
セキュリティーが注意喚起してくれたものです。

差出人は
「”info” <info@ucscard.co.jp>」
”ucscard.co.jp”はUCSカードの正規ドメインですが、件名の”[spam]”が示すように
こんなのは嘘です。

偽装バレバレ

では、メールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<info@s24758.cn>」

早速ボロが出ましたね、”.cn”なんて中国ドメインが早くも露出してしまいました。
でも、これも本当かどうか…
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211109005334161788@s24758.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail0.s24758.cn (unknown [64.235.34.65])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まず、”Return-Path”と”Message-ID”に記載されているドメイン”s24758.cn”について
調べてみます。

IPアドレスをよく見て下さい。
”64.235.34.65”は、ソースの”Received”に記載されていたIPアドレスと全く同じですよね。
この結果から、差出人の本当のメールアドレスは、”Return-Path”に記載されている
”info@s24758.cn”が限りなく正解かと思われます。
持ち主の氏名は、漢字三文字の方で中国のアリババがドメイン管理をしているようです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

これによると、このIPアドレスは現在「アメリカ・バージニア州・アッシュバーン」で
使われていることが分かりました。
おおよその位置ですが…
脅威レベルは「低」と出ていますが、フィッシング詐欺メールなのでどちらにしても
要注意です。

リンク先のURLも偽装

では本文。

いつもＵＣＳサービスをご利用いただきありがとうございます。
この度、当社はセキュリティシステム更新を実施する為ご登録された個人情報を更新する
必要がございます。
つきましては、以下へアクセスの上、ご登録された個人情報の確認にご協力を
お願い致します。

はい、例によって全角のアルファベットですね。
これ、詐欺メールの1つの特徴でもあるので覚えておいて損はありませんよ！
それにサービス側が勝手にセキュリティシステムを更新するのにいちいちユーザーに
個人情報を更新させるなんてナンセンス。
もっともこれは、受信者に本文中にある詐欺サイトへのリンクを押させるための口実
ですからすべてがでたらめ。

そのリンクは、本文中に直接テキストで記載されています。
そのURLがこちら。

これも、偽装された差出人のメールアドレスと同じUCSカードの正規ドメイン”ucscard.co.jp”
が使われていますが、もちろんこれもウソ。

偽装された本当のURLはこちらです。

使われているドメインは”yuntutp1.top”
これについても調べてみました。

あれこれぼかすまでもなくその殆どがプライバシー保護されていました(笑)
持ち主は、中国河南省の企業のようです。

このドメインに割当てられているIPアドレス”192.210.200.25”から割り当て地などの情報を
取得してみました。

これによると、割り当て地は「アメリカ・イリノイ州・シカゴ」と出ています。
そして脅威レベルは「高」でその内容は、ウェブでのサイバーアタックと記されています。

脅威レベルが高いとされているウェブサイトは、こちらのUCSカードユーザーサイト
「UCSネットサーブ」のコピーページでした。

現在も稼働していますので要注意です！

まとめ

差出人のメールアドレスなんて鵜呑みに信じてはいけません！
セキュリティシステム更新のためにユーザー自身が個人情報を更新することなんて
ありません。
また、アルファベットが全角のメールにも注意が必要です！！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)