「不正利用監視システム」にご注意を!休み明けは、メールの処理に大わらわです…(;^_^A 今度は、セゾンカードのユーザー専用ウェブサイト「Netアンサー」を騙ったフィッシング 詐欺メールのお話です。  内容は、クレジットカード会社のなりすましメールでよくある「不正利用監視システム」なる セキュリティー導入に伴ってカードの利用確認をしろと言うもの。 どのようなセキュリティーを導入しようともユーザーに利用確認をさせるなんてことは ありませんのでご注意ください。 さて、ではメールのプロパティーから見ていきましょう。 件名は 「[spam] 【セゾンカード】事務局からのお知らせ[メールコードP1886]」 末尾のメールコードはでたらめのもので単にこのメールに信憑性を持たせるために付けられた 架空の番号。 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「セゾンNetアンサー <noreply@saison.co.jp>」 このメールは件名の”[spam]”が示す通り詐欺メール。 なのでセゾンカードさんの正規ドメイン”saison.co.jp”が使われていますが、これは偽装。 次の項でその偽装を暴いていきます。
アドレス偽装を暴く!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<noreply@saison.co.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<007f8b1627d4$71db884f$2346a2f0$@paidy.com>」 あっ!”paidy.com”って書いてある!! この差出人は、”Paidy(ペイディ)”の詐欺メールもやってるんだ。(笑) バカですよねぇ~、詐欺メールなんか流用するからこういうことが起きるんですよ。 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mail0.saisoncard.co.jp (ik1-201-74325.vs.sakura.ne.jp [133.242.207.79])」 出ました、さくらインターネットユーザー。 ”sakura.ne.jp”ってあるからバレバレですよ。(;^_^A ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
いつもならこの”Received”にあったIPアドレスを使ってそのサーバーの情報を確認しますが、 さくらインターネットが表示されるだけなので、今回はやめておきます。
詐欺サイトは閉鎖?!【重要】カスタマセンターからのご案内 いつも「Netアンサー」をご利用いただき、ありがとうございます 昨今の第三者不正利用の急増に伴い、弊社では「不正利用監視システム」を導入し、 24時間365日体制でカードのご利用に対するモニタリングを行っております。 つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。 ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、 予めご了承下さい。 今アカウントを確認できます。 Netアンサーにログインする 。※カードご利用の承認照会があった場合に通知されるサービスであり、 カードのご利用 及び ご請求を確定するものではありません。 |
よく見かける本文ですが、どことなくおかしいのでよく見ると、二行目の末尾に”。”が ありませんね。 そして最後から二行目、行頭が”。”から始まっています…(汗) もしかして二行目に無かった”。”がここに来たとか??(笑) そして最後の行の「ご利用 及び ご請求」の中に不自然な空白が2か所…(;^_^A このメールの目的はと言うと、詐欺サイトへのリンクを押させることが最大の目的。 リンクは「Netアンサーにログインする」と書かれている部分に付けられています。 そのリンク先のURLがこちらです。  ”saisoncard”の文字も見えますが、ここはサブドメインで、このメールのドメイン部分は ”smusoshajsd.com”です。 このサイトの危険度をトレンドマイクロ社が提供する「サイトセーフティーセンター」 で確認してみたところ「危険」と表示されました。  既に危ないサイトであることは周知されているようですから近寄らない方が無難なようです。 そうは言うのもも、どのようなサイトになっているか気になるのも人情(笑) 少しだけ覗いてみると…  サイトは既に閉鎖され接続できない状況になっていました。 きっと危ないサイトであることが知れ渡ったからトンズラしたんでしょう。
まとめサイトが閉鎖していると言っても楽観できません。 いつまた接続して再開するか分かりませんので要注意です! とにかくメールのリンクは危険がいっぱいです。 もしどうしても接続される際は、スマホのNetアンサーアプリを使いましょう。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |