届いた時点で期限切れって!?UCカードさんから摩訶不思議なメールが届きました。 先に言っておきますが、このメールは「フィッシング詐欺メール」です。 何の説明も無く突然本人確認専用のURLが送られてきています。 このメールを受け取ったのは今日12月21日に日付が変わってすぐの0時43分。 で、このメールに書かれている有効期限が1日前の12月20日。 これってどうやって更新するのでしょうか? 急いで詐欺がしたいのは分かるけど余りにも慌てすぎじゃない? もしかしてタイムマシンとか時空を越えろとかって??(笑) これじゃ騙されたくても騙されることはできないでしょうに…(;^_^A ではプロパティーから見ていきます。 件名は 「[spam] 【重要】UC CARDカードご利用確認」 同じ件名で以前にも二度ほどブログエントリー書いていますが、本文の内容が違ったので 改めてのご紹介です。 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「UCカード <admin@dxyzud.cn>」 調べりゃすぐに判りますが、UCカードさんの自社ドメインは”uccard.co.jp”でけして 中国のドメインではありません。 信用第一のクレジットカードを扱う企業が自社ドメインではないメールアドレスで ユーザー当てにメールを送るなんて絶対にあり得ません。 それも中国のドメインでね…
サーバーは北京市にありでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<admin@dxyzud.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211220234311572641@dxyzud.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from dxyzud.cn (unknown [113.31.145.193])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず使われているドメイン”dxyzud.cn”について調べてみます。 どうやら”.cn”と言うトップレベルドメインから判るように持ち主は中国の方。 このドメインを割当てているIPアドレスは”Received”に書かれていたものと同じもので ”113.31.145.193”でした。 では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! これによるとIPアドレスが利用されている地域は中国の北京市のようです。 あくまでもおおよそですが…
中国ドメイン&ロサンゼルスそして本文。 本人確認手続専用のURLをご連絡いたします。 引き続き下記URLより必要事項の入力をお願いたします。 ▽お手続きはこちらttps://r36jzmo.cn?uc&client_id=ZC002&state=&scope=openid※メールを受け取ったお客さま専用のページです。ほかのお客さまはご利用いただけません。 上記URLの有効期限は2021/12/20です。 期限内にお申し込みが完了しなかった場合は、再度メールアドレスのご登録をお願いたします。 —————————————————— 本メールがご自身宛でない場合、他の方が誤って同じメールアドレスを登録したものと 考えられます。お心当たりのない方は、お手数ですがメール本文を削除くださいますよう お願いたします。 —————————————————— ※本メールへの返信によるご質問にはご回答できません。 |
ツラツラと読んでいくと、日付以外にもおかしなところに気が付きました。 ん?「お願いたします」…”い”がひとつ足らない(笑) それも2か所も…(汗) まあメールのアドレスもそうですが、リンク先のドメインも”r36jzmo.cn”なんて中国ドメイン。 ほんと本気で騙すつもりあるんでしょうか?(笑) このドメインについても調べてみます。 メールのドメインとは別の名前ですが明らかに中国の方のようです。 このドメインを割当てているIPアドレスは”216.127.169.86”のようですのでこのIPアドレスを 使ってその位置を探ってみます。 表示されたのはアメリカのロサンゼルス。 中国ドメインでロサンゼルスは詐欺メールでは一番よくあるパターンですね。 試しに記載されたURLに接続してみるとリダイレクトされこちらのURLに飛ばされました。 これまた調べないといけませんね。(;^_^A 使われている”mrpdok50.cn”ってドメインを調べてみます。 結果は”r36jzmo.cn”の持ち主と同じ人の持ち物。 それに割当てているIPアドレスも同じ。 なぜリダイレクトしているのか意味わかりません…(笑) 開いたサイトは「UC CARD アットユーネット!」の完コピ偽サイトのログインページ。 いつも書きますが、完コピは著作権法に絡む立派な犯罪! サイトを丸ごとダウンロードできるようなアプリがあるのもその原因の一つです。 ここにユーザー情報を打込んで先に進むと個人情報やクレジットカードの情報を記入する フォームが現れそこを入力し送信ボタンを押した時点で詐欺が成立します。
まとめUC CARD を騙ったメールのご紹介は、これで三度目。 三度目と言うことは3つとも本文の内容が違っていたということです。 同じカード会社でも内容を少しづつかえて刺客を送り込んできますので要注意です。 年末年始は皆さんバタバタしていていますので気を引きしめないといけません。 詐欺メールをはじめサイバー犯罪は後を絶ちませんのでお気をつけてお過ごしください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |