『詐欺メール』Joshin webから「カード情報更新のお知らせ」と、来た件

上新電機を騙る詐欺メール

「Joshin web」を騙ったフィッシング詐欺メールは初めてかも。
ただし本文は、得意の「今アカウントを確認できます」って言葉が使われている
かなり見慣れた内容ですが…(笑)

書き出しの「残念ながら、あなたのアカウントが」なんて部分を筆頭に違和感満載でしょ？

件名は
「[spam] [Joshin web] カード情報更新のお知らせ」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Joshin web 事務局 <admin@b7mluy0.cn>」
上新電機さんが”b7mluy0.cn”なんて中国のメインをねぇ…
って、そんなのわけないでしょ！(笑)
上新電機さんは”joshinweb.jp”って自社ドメイン持ってらっしゃいますから！
因みにこのドメインはこんなIPアドレスに割当てられていました。

この4つの数字覚えておいてくださいね。

これやっとかないと終わらないので(笑)

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

”Received”のIPアドレス。
さっき覚えておいてくださいって言った4つの数字と同じでしょ？
多きの詐欺メールは差出人のメールアドレスを偽装するのに対しこの差出人は、自身の
持っている本当のメールアドレスを偽装することなく使いこのメールを私に送ってきた
ことになります。
このIPアドレスを使ってその持ち主とメールサーバーの位置情報を拾ってみましょう！

まず持ち主の情報から。

このドメインは「阿里云计算有限公司」ってレジストラーで管理されていますね。
この企業は恐らく中国の企業です。
それに申請者の氏名は漢字三文字でどう読んだらいいか分からない漢字です。

次にIPアドレスから導き出した位置情報とその危険度。

割当てられている地域は「中国・北京市」
そして危険度は「脅威レベル：高」で脅威の詳細は「メールでのサイバーアタック」と
されています。

自社サイトがあるにも関わらず…

「残念ながら、あなたのアカウントが」って、ここで切るってところで切れているので
明らかにそれと分かる本文です。
”。”でなければならないところが”.”だったりするのも怪しいですよね。

この段落の後に”puia35.cn”から始まる詐欺サイトへのリンクが直書きにて付けられています。
おかしいですよね、署名にもある通り自社ドメイン”joshinweb.jp”を使ったウェブサイトを
持っているのに全く異なるドメインに誘導するっての。
気になるのでこのドメイン”puia35.cn”について調べてみました。

またもや「阿里云计算有限公司」が管理するドメインで申請者のメールアドレスもGmailで
先程とは別の氏名ですが漢字3文字の氏名で日本ではあまり見ることのできない漢字です。

そしてこのドメインはIPアドレス”198.211.27.114”に割当てられていることも割ったので
このIPを使いその位置を拾ってみます。

リンクをクリックしてみると、Joshin webログインページが開きました。
もちろん悪意を持ってコピーされた偽サイトです。

まとめ

本家サイトでは、このように注意喚起がされていますのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;