『詐欺メール』続「【重要】JCBカード からの緊急の連絡」と、来た件

ヘッダー見ればバレバレ

「JCBカードをご利用のお客さま」から始まるJCBカードに成りすまして詐欺を行う
フィッシング詐欺メールが届きました。
以前にも届いたことのあるメールですが、本文内容に若干の相違があるのと先回の
エントリーから日にちも空いていますのであらためて。

例によってこのメールは第三者不正利用の疑いでクレジットカードが使えなくなった旨の
連絡です。

件名は
「[spam] 【重要】JCBカード からの緊急の連絡」
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”JCBカード株式会社” <info@jcb.co.jp>」
確かに”jcb.co.jp”はJCBさんの正規ドメインですが、差出人部分は、知識があれば簡単に偽装
できる部分です。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

ではまず、ドメイン”xqwmw.cn”が本当に存在するのか、そしてIPアドレス”142.11.238.216”
はこのドメインを割当てているのかどうかについて調べてみます。
結果、このドメインにはちゃんとこのIPアドレスに割当てられていました。

この結果から、この差出人は自身のメールアドレスを使ってこのメールを配信したようです。
そしてこのドメインの持ち主は、どうやら氏名が”王”から始まる中国の方のようです。

では今度は、IPアドレス”142.11.238.216”は、どこで利用されているかについて調べてみます。

結果は「アメリカ,ワシントン州,シアトル」
このメールは、こんなところに置かれたメールサーバーから発信されたようです。

偽のMyJCBにつながるリンク

引続き本文です。
気になるところは、図中に書き込んでおきましたのでそちらをご覧ください。

一見するとへりくだって丁寧に書かれた文章ですが、笑えるような怪しい箇所が多々。
この文章の中に外部へのリンクが3つ。
そのリンク先は、どれもこのURLに接続されるよう作られています。

使われているドメインは”etc.hbnfc.cn”
またしても中国のトップレベルドメイン。
それにJCBの”J”の字も含まれていません(笑)

もちろんこのドメインも調べてみますね。

あっ、このドメインの持ち主ってさっきのメールヘッダーにあったドメインと同じですね。
割当てているIPアドレスは”173.82.100.27”です。
これも、運用先を調べてみます。

今度は、ロサンゼルスと出ましたね。

この地で運営されているウェブサーバーで開いているサイトは、当然偽のJCBカードの
会員専用サイト「MyJCB」

間違っても絶対にログインしてはいけません！
騙されると、ユーザー情報の他に、個人情報やクレジットカードの情報まで盗み取られて
しまいますのでご注意ください。

まとめ

中国とロサンゼルスと言えば、セットでフィッシング詐欺メールのご常連(笑)
このパターンは、本当に多いですね。
JBCに限らず、クレジットカード会社からのメールは最初っから疑ってかかっても
損はありません。
しっかりヘッダーソースまで確認するように心掛けましょう！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;