『詐欺メール』「【JCB会員サービス】利用のお知らせ」と、来た件

なぜ自社ドメインを使わない？そりゃ詐欺メールだからさ

今朝、JCBからこのようなメールが届きました。

在りがちな第三者不正利用を騙ったフィッシング詐欺メールです。
それも、他のクレジットカードを騙ったものと全く同じ本文で使いまわし疑惑が発覚。

件名は
「[spam] 【JCB会員サービス】利用のお知らせ」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”【JCB会員サービス】利用のお知らせ” <useraccounts-co-jp@jsywx88.cn>」
JCBさんには”jcb.co.jp“って立派なドメインがあるのにこのメールアドレスに使われている
ドメインは”jsywx88.cn”
一般常識としてそれは無いでしょう。
まあのこメールアドレスも偽装されている可能性大ですが…(;^_^A

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

この結果を見ると、差出人の利用したメールサーバーの位置は中国の北京市付近。
差出人はどうやら「Huawei Cloud Service」ってところのユーザーのようです。
そしてその危険度を示す脅威レベルは「高」、その種類は「メールによるサイバーアタック」
とされていてとても危険です！

メールサーバーが中国でウェブサーバーがロス

引続き本文を見ていきます。

他の詐欺メールでも度も何度も見てきた本文ですね。
このメールの特徴「このたび」と書き始める前に長いスペースがあること。
それもすべて半角で…

「■ご利用確認はこちら」と書かれている部分に詐欺サイトへのリンクが付けられています。
そのリンク先のURLがこちらです。

もうここまでくるとJCBの欠片もありません(笑)
詐欺サイトで使われているドメインは”gnyxry.cn”
例によってこのドメインも調べてみます。

またまた漢字三文字の氏名でこの方も中国のようですね。

検出されたIPアドレス”107.150.7.238”の現在の利用地を確認してみます。

脅威のレベルは低いもののアメリカロサンゼルスと出ました。
メールサーバーが中国でウェブサーバーがロスってのは最近パターン化されてきましたね。

リンク先はJCB会員専用Webサイト「MyJCB」のコピーサイトが表示されました。

ここにIDとパスワードを入れてしまうと、その情報は詐欺犯に詐取されてしまいます。
また、ログインボタンを押して先へ進むとカードの情報を入力する画面が出てこちらも
入力してしまうとそれらの情報も犯人に伝わり悪用されてしまいます。

まとめ

このようなメールを受け取ったら、必ず差出人のメールアドレスとリンク先のURLに
使われているドメインを確認してください。
もしそれらが正しくても偽装の可能性がありますのでログインはスマホアプリか検索結果で
ある正規サイトでログインをしてください。
年末年始は、更に詐欺メールの増加が予想されます。
気を緩めずにお過ごしください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;