VISAカードに成りすました詐欺メール1週間の始まり月曜日。 仕事用のメールボックスは、毎週の如く迷惑メールで大変なことになっています。 しかし、私のメールアドレスは仕事以外に使っていないのにいったいどこで漏れたのでしょう… メーカーサイトのユーザー登録でフォーム入力した際のものが漏れた可能性が高いような… 皆さんも、簡単にあちらこちらでフォーム入力なんかしない方が良いかもしれませんよ。 では、今朝1つ目にご紹介するのはこのメールです。 これはVISAカードに成りすまして「第三者不正利用」をネタに詐欺サイトへ誘いこむ フィッシング詐欺メールです。 VISAカードとは、ご存じの通りマスターカードと並ぶカード決済ブランドの1つ。 これをネタにするような不届き物は断じて許せません! では、メールのプロパティーから見ていきましょう。 件名は 「[spam] 【VISAカード】重要なお知らせ」 「重要なお知らせ」なんて書かれると中身を読みたくなるのが人情ってやつですよね? そんな心理を付いた悪質な詐欺メールです。 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「Visa@visa.co.jp」 ”visa.co.jp”はVISAカードの正規ドメインですが、件名の”[spam]”が示す通りこのメールは 詐欺メールなのでこれは明らかな偽装。 それを次の項で解明していきます。
VISAカードが中国の奥地からメールを?!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<Visa@visa.co.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 ところで、メールアカウントで大文字って見たことあります? メールアカウントやドメインって大文字小文字の区別はありません。 ですから、一般的には大文字を入れているメールアドレスはおかしいと言えます。 | Message-ID:「<0042a0e63724$76f7e056$83d5eac0$@dzuudna>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from dzuudna (unknown [125.69.12.33])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! この結果から、このメールが発信された送信サーバーの位置はおおよそこの地図の場所。 「中華人民共和国 四川省 雅安市 宝興県」と出ています。 アメリカ資本の信用おける決済企業が中国の奥地にメールサーバーを構えると 思いますか?…ちゃんちゃらおかしくて片腹痛くなります(;^_^A
詐欺サイトは「東京都渋谷区桜丘町」付近か?!続いて本文を見ていきます。 VISAカード 利用いただき、ありがとうございます。 このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、 誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。 お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。 何卒ご理解いただきたくお願い申しあげます。 ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、 予めご了承下さい。 |
今回に限らず、第三者不正利用を騙るフィッシング詐欺メールはどれ見ても同じ文面。 そして、煽った上で最後はリンクを押させるのがこのメールの役割。 このメールでは「■ご利用確認はこちら」と書かれた部分に詐欺サイトへのリンクが 付けられています。 そのリンク先のURLがこちらです。 ”ドメイン”って言うのは、右から2つのセグメントでここでいうと”dlsharing.top”で それより左側のセグメントは”サブドメイン”と呼ばれ、管理者が適当に付加することが できる部分。 なので”visa.co.jp”部分はサブドメインなので信用してはいけません。 では、このドメイン”dlsharing.top”について調べてみます。 まずこのドメインを割当てているIPアドレスを取得します。 この結果から”153.122.190.90”が検索されました。 次にこのIPアドレスの所在地を確認してみます。 これによると、リンク先の詐欺サイトは「東京都渋谷区桜丘町」付近にあるようです。 そのサイトに接続してみると、すぐさまウイルスバスターにブロックされました。 既にその界隈では周知されているようです。 更にロックされたサイトに接続してみると。 VISAカードのログインページの完コピ偽サイトです! 最初のページで即カード番号を入れさせるんですね…(笑) よく見てください。 タブにあるはずの”ファビコン”(ウェブサイトアイコン)が設定されていないので、デフォルトの ファビコンが表示されていますよね。 これも詐欺サイトの特徴なので覚えておいても損はありません。 因みにですが、ちょっと調べたところVISAカードのユーザーサイトは存在しないようで 本家ウェブサイトにはログインできるページは見当たりませんでした。
まとめ今回のメールは、メールアドレスんも偽装されていた上、本文文面の日本語も違和感が 無いので免疫の無い受信者にはちょっと見分けずらかったかと思います。 でもVISAカードは決済システムであって金融機関ではないのでユーザーサイトなんて 存在しないのですよね。 ですから、もし騙されたとしても実際に被害に遭うことは少ないのかも知れません。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |