なぜ自社ドメインを使わない?そりゃ詐欺メールだからさ今朝、JCBからこのようなメールが届きました。  在りがちな第三者不正利用を騙ったフィッシング詐欺メールです。 それも、他のクレジットカードを騙ったものと全く同じ本文で使いまわし疑惑が発覚。 件名は 「[spam] 【JCB会員サービス】利用のお知らせ」 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”【JCB会員サービス】利用のお知らせ” <useraccounts-co-jp@jsywx88.cn>」 JCBさんには”jcb.co.jp“って立派なドメインがあるのにこのメールアドレスに使われている ドメインは”jsywx88.cn” 一般常識としてそれは無いでしょう。 まあのこメールアドレスも偽装されている可能性大ですが…(;^_^A では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<useraccounts-co-jp@jsywx88.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<202112220420074656461@jsywx88.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mail.jsywx88.cn (unknown [121.36.95.176])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。  この結果を見ると、差出人の利用したメールサーバーの位置は中国の北京市付近。 差出人はどうやら「Huawei Cloud Service」ってところのユーザーのようです。 そしてその危険度を示す脅威レベルは「高」、その種類は「メールによるサイバーアタック」 とされていてとても危険です!
メールサーバーが中国でウェブサーバーがロス引続き本文を見ていきます。 【JCB会員サービス】利用いただき、ありがとうございます。 このたび、ご本人様のご利用かどうかを確認させていただきたいお取引が ありましたので、誠に勝手ながら、サービスのご利用を一部制限させていただき、 お客様のアカウントのに登録された電話番号にご連絡いたしましたが、お客様に連絡を 取ることができませんでした. ご連絡させていただきました。 ご回答をいただけない場合、サービスのご利用制限が継続されることもございますので、 予めご了承下さい。 ■ご利用確認はこちら ご不便とご心配をおかけしまして誠に申し訳ございませんが、 何とぞご理解賜りたくお願い申しあげます。 |
他の詐欺メールでも度も何度も見てきた本文ですね。 このメールの特徴「このたび」と書き始める前に長いスペースがあること。 それもすべて半角で… 「■ご利用確認はこちら」と書かれている部分に詐欺サイトへのリンクが付けられています。 そのリンク先のURLがこちらです。  もうここまでくるとJCBの欠片もありません(笑) 詐欺サイトで使われているドメインは”gnyxry.cn” 例によってこのドメインも調べてみます。  またまた漢字三文字の氏名でこの方も中国のようですね。 検出されたIPアドレス”107.150.7.238”の現在の利用地を確認してみます。  脅威のレベルは低いもののアメリカロサンゼルスと出ました。 メールサーバーが中国でウェブサーバーがロスってのは最近パターン化されてきましたね。 リンク先はJCB会員専用Webサイト「MyJCB」のコピーサイトが表示されました。  ここにIDとパスワードを入れてしまうと、その情報は詐欺犯に詐取されてしまいます。 また、ログインボタンを押して先へ進むとカードの情報を入力する画面が出てこちらも 入力してしまうとそれらの情報も犯人に伝わり悪用されてしまいます。
まとめこのようなメールを受け取ったら、必ず差出人のメールアドレスとリンク先のURLに 使われているドメインを確認してください。 もしそれらが正しくても偽装の可能性がありますのでログインはスマホアプリか検索結果で ある正規サイトでログインをしてください。 年末年始は、更に詐欺メールの増加が予想されます。 気を緩めずにお過ごしください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |