『詐欺メール』Joshin webから「カード情報更新のお知らせ」と、来た件

heart

3年前

上新電機がまさかの中国ドメイン

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

上新電機を騙る詐欺メール

「Joshin web」を騙ったフィッシング詐欺メールは初めてかも。
ただし本文は、得意の「今アカウントを確認できます」って言葉が使われている
かなり見慣れた内容ですが…(笑)

書き出しの「残念ながら、あなたのアカウントが」なんて部分を筆頭に違和感満載でしょ？

件名は
「[spam] [Joshin web] カード情報更新のお知らせ」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Joshin web 事務局 <admin@b7mluy0.cn>」
上新電機さんが”b7mluy0.cn”なんて中国のメインをねぇ…
って、そんなのわけないでしょ！(笑)
上新電機さんは”joshinweb.jp”って自社ドメイン持ってらっしゃいますから！
因みにこのドメインはこんなIPアドレスに割当てられていました。

この4つの数字覚えておいてくださいね。

これやっとかないと終わらないので(笑)

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<admin@b7mluy0.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211201234139500564@b7mluy0.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from b7mluy0.cn (unknown [113.31.164.73])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

”Received”のIPアドレス。
さっき覚えておいてくださいって言った4つの数字と同じでしょ？
多きの詐欺メールは差出人のメールアドレスを偽装するのに対しこの差出人は、自身の
持っている本当のメールアドレスを偽装することなく使いこのメールを私に送ってきた
ことになります。
このIPアドレスを使ってその持ち主とメールサーバーの位置情報を拾ってみましょう！

まず持ち主の情報から。

このドメインは「阿里云计算有限公司」ってレジストラーで管理されていますね。
この企業は恐らく中国の企業です。
それに申請者の氏名は漢字三文字でどう読んだらいいか分からない漢字です。

次にIPアドレスから導き出した位置情報とその危険度。

割当てられている地域は「中国・北京市」
そして危険度は「脅威レベル：高」で脅威の詳細は「メールでのサイバーアタック」と
されています。

自社サイトがあるにも関わらず…

残念ながら、あなたのアカウントが

Joshin webのカード情報を更新できませんでした。
これは、カードが期限切れになったか、請求先住所が変更されたなど、さまざまな理由で
発生する可能性があります.

アカウント情報の一部が誤っているため、お客様のアカウントを維持するために、
Joshin webのカード情報を確認する必要があります。今アカウントを確認できます。

「残念ながら、あなたのアカウントが」って、ここで切るってところで切れているので
明らかにそれと分かる本文です。
”。”でなければならないところが”.”だったりするのも怪しいですよね。

この段落の後に”puia35.cn”から始まる詐欺サイトへのリンクが直書きにて付けられています。
おかしいですよね、署名にもある通り自社ドメイン”joshinweb.jp”を使ったウェブサイトを
持っているのに全く異なるドメインに誘導するっての。
気になるのでこのドメイン”puia35.cn”について調べてみました。

またもや「阿里云计算有限公司」が管理するドメインで申請者のメールアドレスもGmailで
先程とは別の氏名ですが漢字3文字の氏名で日本ではあまり見ることのできない漢字です。

そしてこのドメインはIPアドレス”198.211.27.114”に割当てられていることも割ったので
このIPを使いその位置を拾ってみます。

リンクをクリックしてみると、Joshin webログインページが開きました。
もちろん悪意を持ってコピーされた偽サイトです。

まとめ

本家サイトでは、このように注意喚起がされていますのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)