二大カード会社そろい踏み今日は、クレジットカード会社の成りすましが多いようで…(;^_^A
今朝はVISA、今度はMastercardと二大カード会社そろい踏みですね(笑)
 本文の内容は在り来たりです。
では、メールのプロパティーから見ていきましょう。 件名は
「[spam] 【マスターカード 】現在カードのご利用が一時停止されました」
”[spam]”とスタンプが付けられているので当然迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は
「”マスターカード ” <info@mastercard.co.jp>」
”mastercard.co.jp”はマスターカード社の正規ドメインですが、件名の”[spam]”が示す通り
詐欺メールなのでこのメールアドレスは偽装されています。
差出人は「NTTPC Communications」のユーザー?!では、このメールのヘッダーソースを確認し偽装を暴いていきましょう。
ソースから抜き出した「フィールド御三家」がこちらです。 | Return-Path: 「<zsjcqdjw@mastercard.co.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。 | | Message-ID:「<20220124123641614520@mastercard.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。 | | Received:「from mastercard.co.jp (116-80-118-180.pro.static.arena.ne.jp [116.80.118.180])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
偽装を立証するために”mastercard.co.jp”を割当てているIPアドレスと”Received”の
IPアドレスを比較してみます。
ね、全然違うでしょ?
ということは、メールアドレスは偽装だったということ! では、今度はこの”Received”にあったIPアドレス”116.80.118.180”を使ってそのサーバーの
情報を拾ってみます。
詐欺メールのドメインにしては珍しく古くから使われているドメインですね。
普通は足が付かないように使い捨てるのが一般的です。 次に、このIPアドレスを元にその割り当て地を確認してみます。
差出人は、どうやら「NTTPC Communications」のレンタルサーバーをご利用のようです。
もちろんおおよそですが、この地図の位置は、そのサーバーの設置場所です。
ログイン画面は無いの?では、本文。
 本文の内容は、よくある不正利用の疑いによりカードの利用制限を行ったのでリンクから
利用確認をしろと言うもの。 そのリンク箇所は2か所で、リンク先のURLはこちら。
 このURLのウェブサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で
確認してみました。
やはり危険なサイトであると周知されているようです。 行くなと言われると行きたくなるのが人情…(;^_^A
代表して見てきました。(笑)
サイトは、ログイン画面が表示されると思いきや大胆にも直接カード情報を入力する
フォームが開きました。(汗)
詐欺サイトは、とんでもない偽サイトでした…
まとめVISAにマスターと立て続けに届いた大手カード会社を騙ったメールには驚きました。(;^_^A
それに、詐欺サイトのトップページがカード情報の入力画面だと言うのにもびっくり…
「カードのご利用確認」って言葉には、くれぐれもご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 
