サイトアイコン HEARTLAND

『詐欺メール』「【最終警告】JCBカード からの緊急の連絡」と、来た件

偽装を見破るポイントはソース
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

一語一句見慣れた本文

またJCBに成りすましたフィッシング詐欺メールが届きました。

本文は、見慣れたいつもの第三者不正利用によりカード利用を制限したという内容。

件名は
「[spam] 【最終警告】JCBカード からの緊急の連絡 [メールコード My76]」
「最終警告」なんて借金取りみたいなこと書いて焦らせようという魂胆です。
メールコードもこのメールに信憑性を持たせるための手口。
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”JCBカード株式会社” <info@jcb.co.jp>」
本物のJCBさんの正規ドメインは確かに”jcb.co.jp”ですが、スパム野郎なんでこれは偽装。
では次の項でその偽装を暴いていきましょう。


ひと手間掛けて偽装を見破る

これは、ソースから抜き出した「フィールド御三家」がこちらです。
これを使って調査を進めていきます。

Return-Path: 「<msdzjep@jcb.co.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<655E71321CA4C5D4B1E4BD7FF05E02DE@jcb.co.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from jcb.co.jp (unknown [116.85.67.169])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

ここでは、”Received”に書かれているIPアドレス”116.85.67.169”と差出人のアドレス
jcb.co.jp”の相関性について調べます。
もし、このドメインを割当てているIPアドレスが”116.85.67.169”なら偽装は無し。
別のIPアドレスが出てくれば偽装だったことになります。
はてさてどうなりますことやら(笑)

ほらね、”jcb.co.jp”を割当てているIPは”104.18.166.43”で全然違いますよね!
これで偽装が立証されました。

因みに”Received”に書かれているIPアドレス”116.85.67.169”の所在を確かめてみると、
中国の北京市の北京警察博物館付近が表示されました。
それにこのIPアドレスの危険度は「高」とされていて脅威の種類はメールによる
サイバーアタックと書かれていますからと危険なIPアドレスとして周知されているようです。


これは既知の危険な Web ページです!

では、引き続きまして本文です。

例によって宛名がありません。
宛名が無かったり「お客様」だったりと氏名で書かれていないものは詐欺メールの可能性が
大きいです。

本文の内容は、一語一句何度も何度も見てきたもので見飽きた内容です。
そんなことより私が気になるのは3か所配置された詐欺サイトへのリンク。
そのリンク先のURLがこちらです。

まずはこれをノートンの「セーフウェブレポート」で評価を確認してみました。
すると…

結果は危険であると警告されました。
脅威レポートには「これは既知の危険な Web ページです。このページを表示しないことを推奨します。」
と書かれています。
リンク先は、かなり危険なサイトなようで近づかない方か身の為ですね。

では、このURLで使われているドメイン”sz.myjaoesb.com”に関して調査しています。

持ち主はマレーシアのクアラルンプールにある企業で、ちょいちょい見かける住所と会社名。
これによると、このドメインを割当てているIPアドレスは”23.94.159.198”らしいので
このIPアドレスを元にその割り当て地を確認してみます。

アメリカニューヨーク州バッファロー付近の地図が表示されました。
リンク先のサイトは、この付近に設置されたウェブサーバーで稼働している模様です。


サインインさせないの?

行くなと言われると、余計に行きたくなるのが人情と言うもの。
ほんの障りだけ見てきました。
リンクに接続するといきなりカード情報を入力する画面がドーンと!(笑)
普通はサインインしてからでしょ、こんな画面出すのは…(;^_^A
そんなに焦ってどうする??
相当慌てんぼうな詐欺師ですね(笑)


まとめ

今回のポイントは、ソースを確認するってところにあります。
偽装されているので信じてしまいそうですが、焦らず、慌てずしっかり判断することが
大切です!
しっかりポイントを押さえて被害に遭わないようにご注意ください!!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了