待った無しの詐欺メール小春日和♪ 連日秋空の晴天が続きます。 来週はまた一歩季節が進むとか、この週末の晴天を十二分に満喫したいところです。 さて、そんな穏やかな週末の空気を一掃するようなメールがまた届いています。 そのメールがこちら。 UC CARDを騙り偽のユーザーサイトに誘いこみ、ログインIDあパスワード、更には個人情報と カード情報を詐取しようと試みるメールです。 
本文は、何の理由や説明も無く唐突にリンクを押させようとしています。(-_-;) それにこのメール、送信日時が11月19日22時44分に対してリンク先の有効期限が11月19日。 猶予は1時間15分ほど…待った無しですか… もう少し余裕を持ちましょうよ! ま、とは言っても、リンク先の有効期限なんてありませんがね…(笑)
カード会社が北京からメールを?!ではメールのプロパティーから見ていきます。 件名は 「[spam] 【重要】UC CARDカードご利用確認」 ご利用確認、ご利用確認と第三者不正利用を騙る同じ件名や内容のメールが毎日ものすごく たくさん送られてきます。 このメールは”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「UCカード <admin@0w82xj5.cn>」 UCカードさんの正規ドメインは「uccard.co.jp」です。 間違っても中国のトップレベルドメインを使ったドメインではありません。(笑) では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<admin@0w82xj5.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211119214456456230@0w82xj5.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from 0w82xj5.cn (unknown [113.31.109.5])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってこのメールの差出人の信ぴょう性などを探ってみたいと 思います。 また、そのサーバーの位置情報を拾ってみましょう! 
これによるとIPアドレス”113.31.109.5”は、間違いなくドメイン”0w82xj5.cn”に割当てられて いるようです。 このドメインの持ち主は漢字三文字の氏名の方なのでどうやら中国の方のようです。 この結果からこの差出人のメールアドレスは偽装ではないことが分かりました。 では、この差出人はどこからこのメールを送ってきたのでしょうか? このIPアドレスからおおよその割り当て地とIPの危険度を確認してみます。 
ドメインの”.cn”が示すように中国の北京市の地図が表示されました。 あくまでおおよそですよ。 そして危険度は脅威レベルが「高」で、種類はメールによるサイバーアタックと出ています。
お決まりのパターンでは、本文にあるリンクを調査してみます。 URLはこちら。 
使われているドメインは”acankaocn.cn”です。 相変わらず中国のトップレベルドメインですね(^^; ドメインの調査結果はこんな感じです。 
持ち主の氏名はこちらも漢字三文字でした。 割当てているIPアドレス”23.94.211.52”から割り当て地と危険度を調べてみました。 
割り当て地は「アメリカ ワシントン州 シアトル」 脅威レベルは「高」で、脅威の詳細は「ウェブによるサイバーアタックの攻撃元」 危険そうですね! 中国ドメインにアメリカのサイトは、詐欺メールのお決まりのパターンです。 そんなお決まりのアメリカでどのなサイトを開いているのか。 言わずと知れた完コピ偽サイトです。 
まだ周知されていないようで、ウイルスバスターにブロックされることなくすんなりと 開いてしまいましたのでとても危険です!
まとめこれほど猶予の無いメールは初めてでした(笑) 慌てたってあんな夜中に送られてきてては騙されたくても騙されることはできませんよね? あからさまに中国のドメインメールで詐欺を企てようとするメールが最近多くみられます。 受信者にとってはとても見破りやすいのですが、免疫の無い方だととても危険です。 十分ご注意ください! いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |