『詐欺メール』「【最終警告】JCBカード からの緊急の連絡」と、来た件

一語一句見慣れた本文

またJCBに成りすましたフィッシング詐欺メールが届きました。

本文は、見慣れたいつもの第三者不正利用によりカード利用を制限したという内容。

件名は
「[spam] 【最終警告】JCBカード からの緊急の連絡 [メールコード My76]」
「最終警告」なんて借金取りみたいなこと書いて焦らせようという魂胆です。
メールコードもこのメールに信憑性を持たせるための手口。
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"JCBカード株式会社" <info@jcb.co.jp>」
本物のJCBさんの正規ドメインは確かに”jcb.co.jp”ですが、スパム野郎なんでこれは偽装。
では次の項でその偽装を暴いていきましょう。

ひと手間掛けて偽装を見破る

これは、ソースから抜き出した「フィールド御三家」がこちらです。
これを使って調査を進めていきます。

ここでは、”Received”に書かれているIPアドレス”116.85.67.169”と差出人のアドレス
”jcb.co.jp”の相関性について調べます。
もし、このドメインを割当てているIPアドレスが”116.85.67.169”なら偽装は無し。
別のIPアドレスが出てくれば偽装だったことになります。
はてさてどうなりますことやら(笑)

ほらね、”jcb.co.jp”を割当てているIPは”104.18.166.43”で全然違いますよね！
これで偽装が立証されました。

因みに”Received”に書かれているIPアドレス”116.85.67.169”の所在を確かめてみると、
中国の北京市の北京警察博物館付近が表示されました。
それにこのIPアドレスの危険度は「高」とされていて脅威の種類はメールによる
サイバーアタックと書かれていますからと危険なIPアドレスとして周知されているようです。

これは既知の危険な Web ページです！

では、引き続きまして本文です。

例によって宛名がありません。
宛名が無かったり「お客様」だったりと氏名で書かれていないものは詐欺メールの可能性が
大きいです。

本文の内容は、一語一句何度も何度も見てきたもので見飽きた内容です。
そんなことより私が気になるのは3か所配置された詐欺サイトへのリンク。
そのリンク先のURLがこちらです。

まずはこれをノートンの「セーフウェブレポート」で評価を確認してみました。
すると…

結果は危険であると警告されました。
脅威レポートには「これは既知の危険な Web ページです。このページを表示しないことを推奨します。」
と書かれています。
リンク先は、かなり危険なサイトなようで近づかない方か身の為ですね。

では、このURLで使われているドメイン”sz.myjaoesb.com”に関して調査しています。

持ち主はマレーシアのクアラルンプールにある企業で、ちょいちょい見かける住所と会社名。
これによると、このドメインを割当てているIPアドレスは”23.94.159.198”らしいので
このIPアドレスを元にその割り当て地を確認してみます。

アメリカニューヨーク州バッファロー付近の地図が表示されました。
リンク先のサイトは、この付近に設置されたウェブサーバーで稼働している模様です。

サインインさせないの？

行くなと言われると、余計に行きたくなるのが人情と言うもの。
ほんの障りだけ見てきました。
リンクに接続するといきなりカード情報を入力する画面がドーンと！(笑)
普通はサインインしてからでしょ、こんな画面出すのは…(;^_^A
そんなに焦ってどうする？？
相当慌てんぼうな詐欺師ですね(笑)

まとめ

今回のポイントは、ソースを確認するってところにあります。
偽装されているので信じてしまいそうですが、焦らず、慌てずしっかり判断することが
大切です！
しっかりポイントを押さえて被害に遭わないようにご注意ください！！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;