『詐欺メール』「「VJAグループVpassアプリ」ご請求内容のお知らせ」と、来た件

メールサーバーは皇居付近に？！

週明け一発目はVJAフィッシング詐欺メールです。
VJAに成りすまし、身に覚えのない請求を装ってリンクから様々な情報を盗み取り詐欺を行う
のがその手口。

では、プロパティーから見ていきましょうか。

件名は
「[spam] 「VJAグループVpassアプリ」ご請求内容のお知らせ」
ご存じの方も多いと思いますが「Vpassアプリ」と言うのは、VJAグループカード会員専用の
ウェブサイトアプリの事です。
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「Vpass(VJA)グループ <vpass-account-update@u4x0qu.cn>」
どうして日本のクレジットカード会社のメールドメインが”u4x0qu.cn”って中国なの？

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、ドメイン”u4x0qu.cn”と”Received”に書かれてるIPアドレス”202.61.149.39”の
相関性を確認してみました。

このドメインは、”Received”に書かれてるIPアドレス”202.61.149.39”に割当てられていることが
確認できました。
それにしても情報が少ないですね。
申請者の氏名は、私には全く読めない漢字3文字の方で、ドメインの管理はアリババに委託されて
います。

次にIPアドレス”202.61.149.39”を使ってその位置情報を探ってみました。

皇居付近の地図ですね。
どうやらこのメールは皇居付近のサーバーから発信されたようです。

手の込んだ詐欺サイト

続いて本文。

この本文の最初に書かれている宛名ですが、このメールの場合は、私のメールアドレスが
書かれています。
クレジットカード会社に限らず、このような重要な内容の場合、宛名は氏名を書くとものだ
と思います。
宛名がメールアドレスの原因は、差出人がこちらの情報をそれしか知らないということです。
闇で流れているメールアドレスリスト宛に片っ端からメールを送っているからだと思われます。

身に覚えのない引き落としで受け取った方とすればびっくりですよね。
免疫が無い大半の方は、慌ててリンクをクリックしてしまうことでしょう。
そのリンクは「ご利用明細をご確認ください」と書かれた部分に付けられています。
そのリンク先のURLがこちらです。

ん～…またしても中国ドメインですね(汗)
まず、このURLの危険性をトレンドマイクロ社が提供している「サイトセーフティーセンター」
で確認してみました。

危険なフィッシングサイトとして登録されていましたので近づかない方が安泰です。

では、このURLで使われているドメイン”vpasss-ne-inbex.t56eqt.4xxygtr.cn”について
調べてみました。
結果は、メールのドメインと同じような感じですね。

このドメインは、IPアドレス”155.94.182.235”に割当てられているということなので
今度は、このIPアドレスを元にその割り当て地を確認してみました。
すると、結果は「アメリカ,カリフォルニア州,ロサンゼルス」付近の地図が表示されました。

このリンク先の詐欺サイトは、VJA加盟のクレジットカード会社のリンク一覧が表示され
ました。

驚いたことに、ここにあるリンク先の全てがドメイン”vpasss-ne-inbex.t56eqt.4xxygtr.cn”
で作られた詐欺サイトになっている手の込みようで、かなり時間をかけて作られたものだと
思います。

まとめ

1度作ってしまえば何度でも使えるんでしょうけど、これほどまでにたくさんのリンク先を
作るのは実に大変だったでしょうね…(;^_^A
でも、もしこの加盟会社のクレジットカードをお持ちでこのようなメールが届いたら
電話するより先にリンクを開いてしまうかも知れません。
どのような内容だったとしても、絶対にリンクを開かずスマホアプリからログインするよう
に心がけてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;