やっぱりゆっくりできませんね
今日はゆっくりしようと思ったのですが、やはりそんなこと許されませんでした。(笑)
JCBカードに成りすましカードの情報を盗み取ろうとするフィッシング詐欺メールです。
件名は
「[spam] 【MyJCB会員】確認情報を取得できませんでした.」
変換間違いでしょうか、最後が”。”ではなく”.”
普通は送る前に確認すると思うのですが…(;^_^A
それにしても「確認情報を取得できませんでした」なんておかしな言い回しですね。(笑)
差出人は
「"JCBカード株式会社" <info@jcb.co.jp>」
”jcb.co.jp”とJCBカードの正規ドメインが使われていますがもちろんこのアドレスは偽装。
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
使ったメールサーバーは品川付近に?!
では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「<support@mrjdc.cn>」
あらあら、””mrjdc.cn“なんて中国のドメインが露呈しちゃいましたね。(笑)
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「<20220107110827148422@mrjdc.cn>」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「 from mrjdc.cn (unknown [109.166.38.38])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
”mrjdc.cn”ってドメインについて調べてみたところ”Received”に記載されているIP
アドレス”109.166.38.38”に割当てられているのでどうやら差出人の本当のメールアドレスは
このドメインが使われているようです。
持ち主のお名前は、中国っぽい3文字の氏名。
では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。
先程のドメインの調査では割り当て地はルーマニアとされていましたが、こちらのサイトでは
東京都品川区東品川付近の地図が表示されています。
この差出人は、この付近に置かれたサーバーを介して私にこのメールを送ってきたようです。
相変わらず雑な本文
では本文に移ります。
JCBカードをご利用のお客さま
利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、
誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、
予めご了承下さい
▼ご利用確認はこちら
弊社は、インターネット上の不正行為の防止?抑制の観点からサイトとしての
信頼性?正当性を高めるため、(←ここで急に文章が途切れてる)
▼MyJCBログインはこちら |
まず最初に、こちらの氏名を知っているはずのクレジットカード会社がなぜこのように
抽象的な「JCBカードをご利用のお客さま」などと言う宛名を使うのでしょうか?
これは、差出人がこちらの氏名を知らない証拠。
だって、差出人はどこかで漏洩したメールアドレスのリストからこのメールを太くて多数に
向けメールを送信しているからです。
何気なくツラツラとメールを読み進めていくと突然の”?”が二つ。(笑)
そしてまた「高めるため、」ってところで突然文章が途切れているし(^▽^;)
詐欺メールは、脅し文句を使い本文に付けられたリンクから偽サイトへ誘導し詐欺を
行います。
このメールにも「▼ご利用確認はこちら」や「▼MyJCBログインはこちら」ってところに
そのリンクが付けられています。
そのリンク先のURLがこちらです。
やっぱり中国のドメインなんですね…(;^_^A
使われているドメインは”etc.pinean.cn”
これを使って持ち主と割り当て地を調べてみます。
ああ、当たり前と言えば当たり前ですが、先程メールアドレスの際に出てきた方と
持ち主は同じ方。
ただドメインを管理しているレジストラが別会社になっていますね。
では、このドメインは現在どこで使われているのでしょうか?
調査で出てきた”192.3.127.242”ってIPアドレスを元に調べてみました。
結果はこちら。
このIPアドレスは、現在「アメリカ カリフォルニア州 サンジョセ」付近で利用されていると
出ました。
リンクをクリックしてみると、ウイルスバスターに遮断されることなくすんなりとサイトが
開きました。
JCBのコピーページです。
左側の「MyJCBに登録済みの方」と書かれた方にIDとパスワードを入力し「ログイン」ボタン
を押してしまうと、そのIDとパスワードは詐欺犯の手中になり、その先のページで表示される
個人情報やカード情報を入力するフォームも打込むと最悪な被害を被ります。
因みに右側の「新規登録/ID・パスワードをお忘れの方」の「新規登録/ID確認」を押すと
「404 Not Found」と書かれたページが開きました。
どうやら詐欺犯にとってはこのリンクは必要なかったようです。(笑)
まとめ
詐欺犯たちもお正月は活動が鈍かったようで詐欺メールも心なしか少なかったように
感じましたが、松の内が終わりに近づくと共に少しづつ活発になってきたようです。
嫌な病気も流行っていますが、今年もこちらにも注意しながらの生活になりそうですね!
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |