『詐欺メール』「【USC】一時的な利用停止、ログインして確認してください」と、来た件

開封通知なんてするものか！

相変わらず朝もメールボックスにはたっぷりの詐欺メールが届いています。
そんな中で、コイツだけ開封確認の通知を求められました…(^-^;

もちろん拒否しましたが、フィッシング詐欺メールの送り主が開封したかどうか確認する
必要なんてあるのでしょうか？(笑)

では今回はこのメールをご紹介しようと思います。

件名は
「[spam] 【USC】一時的な利用停止、ログインして確認してください739621407」
末尾の数字は、信憑性を持たせるための通し番号のつもりなんでしょうけど、誰もそんなの
信じません。
そして先頭の”[spam]”は、スパムスタンプでこのメールに悪意があることを受信したサーバーの
セキュリティーが注意喚起してくれたものです。

差出人は
「"info" <info@ucscard.co.jp>」
”ucscard.co.jp”はUCSカードの正規ドメインですが、件名の”[spam]”が示すように
こんなのは嘘です。

偽装バレバレ

では、メールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず、”Return-Path”と”Message-ID”に記載されているドメイン”s24758.cn”について
調べてみます。

IPアドレスをよく見て下さい。
”64.235.34.65”は、ソースの”Received”に記載されていたIPアドレスと全く同じですよね。
この結果から、差出人の本当のメールアドレスは、”Return-Path”に記載されている
”info@s24758.cn”が限りなく正解かと思われます。
持ち主の氏名は、漢字三文字の方で中国のアリババがドメイン管理をしているようです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

これによると、このIPアドレスは現在「アメリカ・バージニア州・アッシュバーン」で
使われていることが分かりました。
おおよその位置ですが…
脅威レベルは「低」と出ていますが、フィッシング詐欺メールなのでどちらにしても
要注意です。

リンク先のURLも偽装

では本文。

はい、例によって全角のアルファベットですね。
これ、詐欺メールの1つの特徴でもあるので覚えておいて損はありませんよ！
それにサービス側が勝手にセキュリティシステムを更新するのにいちいちユーザーに
個人情報を更新させるなんてナンセンス。
もっともこれは、受信者に本文中にある詐欺サイトへのリンクを押させるための口実
ですからすべてがでたらめ。

そのリンクは、本文中に直接テキストで記載されています。
そのURLがこちら。

これも、偽装された差出人のメールアドレスと同じUCSカードの正規ドメイン”ucscard.co.jp”
が使われていますが、もちろんこれもウソ。

偽装された本当のURLはこちらです。

使われているドメインは”yuntutp1.top”
これについても調べてみました。

あれこれぼかすまでもなくその殆どがプライバシー保護されていました(笑)
持ち主は、中国河南省の企業のようです。

このドメインに割当てられているIPアドレス”192.210.200.25”から割り当て地などの情報を
取得してみました。

これによると、割り当て地は「アメリカ・イリノイ州・シカゴ」と出ています。
そして脅威レベルは「高」でその内容は、ウェブでのサイバーアタックと記されています。

脅威レベルが高いとされているウェブサイトは、こちらのUCSカードユーザーサイト
「UCSネットサーブ」のコピーページでした。

現在も稼働していますので要注意です！

まとめ

差出人のメールアドレスなんて鵜呑みに信じてはいけません！
セキュリティシステム更新のためにユーザー自身が個人情報を更新することなんて
ありません。
また、アルファベットが全角のメールにも注意が必要です！！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;