『詐欺メール』新「【重要】UC CARDカードご利用確認」と、来た件

届いた時点で期限切れって！？

UCカードさんから摩訶不思議なメールが届きました。
先に言っておきますが、このメールは「フィッシング詐欺メール」です。

何の説明も無く突然本人確認専用のURLが送られてきています。
このメールを受け取ったのは今日12月21日に日付が変わってすぐの0時43分。
で、このメールに書かれている有効期限が1日前の12月20日。
これってどうやって更新するのでしょうか？
急いで詐欺がしたいのは分かるけど余りにも慌てすぎじゃない？
もしかしてタイムマシンとか時空を越えろとかって？？(笑)
これじゃ騙されたくても騙されることはできないでしょうに…(;^_^A

ではプロパティーから見ていきます。

件名は
「[spam] 【重要】UC CARDカードご利用確認」
同じ件名で以前にも二度ほどブログエントリー書いていますが、本文の内容が違ったので
改めてのご紹介です。
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「UCカード <admin@dxyzud.cn>」
調べりゃすぐに判りますが、UCカードさんの自社ドメインは”uccard.co.jp”でけして
中国のドメインではありません。
信用第一のクレジットカードを扱う企業が自社ドメインではないメールアドレスで
ユーザー当てにメールを送るなんて絶対にあり得ません。
それも中国のドメインでね…

サーバーは北京市にあり

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず使われているドメイン”dxyzud.cn”について調べてみます。

どうやら”.cn”と言うトップレベルドメインから判るように持ち主は中国の方。
このドメインを割当てているIPアドレスは”Received”に書かれていたものと同じもので
”113.31.145.193”でした。
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

これによるとIPアドレスが利用されている地域は中国の北京市のようです。
あくまでもおおよそですが…

中国ドメイン＆ロサンゼルス

そして本文。

ツラツラと読んでいくと、日付以外にもおかしなところに気が付きました。
ん？「お願いたします」…”い”がひとつ足らない(笑)
それも2か所も…(汗)

まあメールのアドレスもそうですが、リンク先のドメインも”r36jzmo.cn”なんて中国ドメイン。
ほんと本気で騙すつもりあるんでしょうか？(笑)
このドメインについても調べてみます。

メールのドメインとは別の名前ですが明らかに中国の方のようです。
このドメインを割当てているIPアドレスは”216.127.169.86”のようですのでこのIPアドレスを
使ってその位置を探ってみます。

表示されたのはアメリカのロサンゼルス。
中国ドメインでロサンゼルスは詐欺メールでは一番よくあるパターンですね。

試しに記載されたURLに接続してみるとリダイレクトされこちらのURLに飛ばされました。

これまた調べないといけませんね。(;^_^A
使われている”mrpdok50.cn”ってドメインを調べてみます。

結果は”r36jzmo.cn”の持ち主と同じ人の持ち物。
それに割当てているIPアドレスも同じ。
なぜリダイレクトしているのか意味わかりません…(笑)

開いたサイトは「UC CARD アットユーネット！」の完コピ偽サイトのログインページ。

いつも書きますが、完コピは著作権法に絡む立派な犯罪！
サイトを丸ごとダウンロードできるようなアプリがあるのもその原因の一つです。
ここにユーザー情報を打込んで先に進むと個人情報やクレジットカードの情報を記入する
フォームが現れそこを入力し送信ボタンを押した時点で詐欺が成立します。

まとめ

UC CARD を騙ったメールのご紹介は、これで三度目。
三度目と言うことは3つとも本文の内容が違っていたということです。
同じカード会社でも内容を少しづつかえて刺客を送り込んできますので要注意です。
年末年始は皆さんバタバタしていていますので気を引きしめないといけません。
詐欺メールをはじめサイバー犯罪は後を絶ちませんのでお気をつけてお過ごしください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;