『詐欺メール』「【AMERICAN EXPRESS】 会員専用サイト パスワードリセットのご案内 」と、来た件

自社ドメインを使わないアドレスは信用問題に関わる

アメリカンエキスプレスを騙ったフィッシング詐欺メールが立て続けに数通。
その中で、今までにご紹介していないものが含まれていましたので早速エントリー作って
みたいと思います。
そのメールがこちらです。

ありがちな第三者の不正利用を装い、パスワードリセットが行われたのでリンク先から
パスワードを再設定しろと言う内容です。

では、メールのプロパティーから見ていきましょう。

件名は
「【AMERICAN EXPRESS】 会員専用サイト パスワードリセットのご案内」
危ない危ない、詐欺メールにいつも付けられてくる”[spam]”ってスタンプがありません。
どうやらこのメール、サーバーのスパムフィルターをくぐり抜けてきたようです。
”[spam]”スタンプとはスパムスタンプと呼ばれるサーバーからの注意喚起です。
これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「xmg <lgdlm@jhs-baseball.jp>」
誰これ？…
アメリカンエキスプレス社の正規ドメインは”americanexpress.com”のはず。
それとは全く異なるドメインを使ったメールアドレスです。
自社ドメインが有るのに別ドメインのメールを使って、このような大切なメールをユーザー
宛に送る企業なんて信用されません。
因みにこの”lgdlm@jhs-baseball.jp”というメールアドレスも眉唾です。

偽装されたメールアドレスを暴く！

では、このメールアドレスの真意をヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

メールアドレスに書かれているドメイン”jhs-baseball.jp”と”Received”に書かれている
IPアドレス”153.125.147.249”との相関性を調べて嘘を暴きます。
これがその結果です。

全然違うIPアドレスが書かれているので、このメールアドレスは偽装されていることが確定！

今度は、この”Received”にあったIPアドレス”153.125.147.249”を使ってそのサーバーの
情報を拾ってみます。

表示されたのは、北海道の石狩市付近。
ということは、このメールは石狩市付近に設置されたメールサーバーが発信元と言うことです。

偽サイトはXserver上で稼働？！

では、本文を見ていきます。

第三者不正利用の疑いがありパスワードを再設定したなんてメールは、ユーザーにとって
大変重要なメールになります。
にもかかわらずこのメールの本文には宛名がありません。
重要な通知に宛名が無いなんて、金融機関としては信用おけませんよね？

それに、このリンク先のアドレスに使われているドメイン。

一見アメリカンエキスプレスのサイトっぽくも見えますが、これも使われているドメインは
”kokorowave.com”ですからアメリカンエキスプレス社のものではありません。

早速このドメインについて調べてみましたところ、ドメインの取得はスタードメインに
依頼したようです。
そして取得者のお住まいは東京都品川区北品川と記載されています。

このドメインを割当てているIPアドレスは”210.188.201.162”とのことなので、
このIPアドレスを元にその割り当て地を確認してみます。

結果は、ご覧の通り東京都千代田区九段付近。
使っているレンタルサーバーはXserverです。
ここで開かれている偽サイトに行ってみようとすると画面の右下にこのような警告が…

ウイルスバスターにサイトをブロックされてしまいました。

行くなと言われると、余計に見たくなるのが人情と言うヤツ(笑)
ちょっとだけ覗いてみました。
すると、下のようなアメリカンエキスプレスユーザーサイトのログインページが開きました。
もちろん偽サイトですよ！

まずここにユーザーアカウントを入力させログインのためのIDとパスワードを詐取します。
引続き以降のページで個人情報やクレジットカード情報を盗み取るのが奴らの手口です。

まとめ

私は、アメリカンエキスプレスのクレジットカードを持っていないので少々危険を冒しても
大丈夫ですが、こちらのカードを持っている方は、このような悪質なメールに騙されないように
十分ご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;