『詐欺メール』「＜重要＞VJA 株式会社から緊急のご連絡」と、来た件

VISAグループが中国ドメインで？！

またおかしなメールです。
これは、Visaジャパン協会のVJAに成りすまし個人情報やクレジットカード情報を盗み取ろう
とするフィッシング詐欺メールです。

今回の言い草は、詐欺事件が多発しているのでセキュリティーシステムをアップグレードした
とあります。
「詐欺事件が多発」って、どの口が言ってるの？！

では、プロパティーから見ていきます。

件名は
「[spam] ＜重要＞VJA 株式会社から緊急のご連絡」
「緊急のご連絡」なんておどろおどろしい書き方てしていますが、どう書こうが”[spam]”と
スタンプが付けられているので迷惑メールの類。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「VJAグループ <admin@07a3eu2.cn>」
ほらほら、”.cn”なんて中国のトップレベルドメインになっちゃってますよ！
日本の金融機関であろうVISAグループがそんなドメイン使うはずがありません！！
まっ、これも偽装かも知れませんけどね…

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、この”Received”にあったIPアドレス”113.31.109.35”を使ってそのサーバーの情報を
拾ってみます。

ほら、やっぱり中国北京市です。
このメールはこの付近にあるメールサーバーから送られてきています。

トレンドマイクロでは危険と判断！

そして本文です。

それらしいこと書いてありますが、セキュリティシステムを更新したからって
いちいちユーザーが個人情報を更新するっておかしくない？
そんな情報は、VISAが持ってるはずでしょ？
なんだかんだ言って結局これは末尾にあるリンクを押させるための口実。
そのリンクは「■ご利用確認はこちら」と書かれている部分に付けられています。
そのリンク先のURLがこちらです。

このURLが安全かどうかトレンドマイクロに調べてもらいます。

やはり危険と表示されました。
カテゴリはフィッシングと書かれていますね。

使われているドメインは”dbho7wn.cn”
誰が持っていてどこで使われているのか調べてみます。

これによると、持ち主は日本ではあまり見かけない漢字三文字の氏名の方。
アリババにドメイン管理が委託されているので恐らくこの方は中国の方でしょう。
割当てているIPアドレスは”198.23.149.170”ということなので、このIPアドレスを元に
その割り当て地を確認してみます。

ワシントン州のシアトル付近の地図が表示されました。
最近シアトル多いですね(汗)

リンク先の詐欺サイトは、ここで運用されているようです。
でも、リンク先は既にもぬけの殻、接続はできませんでした。

まとめ

差出人のアドレスが中国ドメインでしたから明らかにおかしいメール。
誰もここまで調べたりしないでしょうね。
でも、危険なことを周知していただきたいので詳しく調べてみました。
悪質なメールが多いですのでお互い注意しましょう！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;