サイトアイコン HEARTLAND

『詐欺メール』「【AMERICAN EXPRESS】 会員専用サイト パスワードリセットのご案内 」と、来た件

あっぶなっ!”[spam]”付いてないし(;^_^A
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

自社ドメインを使わないアドレスは信用問題に関わる

アメリカンエキスプレスを騙ったフィッシング詐欺メールが立て続けに数通。
その中で、今までにご紹介していないものが含まれていましたので早速エントリー作って
みたいと思います。
そのメールがこちらです。

ありがちな第三者の不正利用を装い、パスワードリセットが行われたのでリンク先から
パスワードを再設定しろと言う内容です。

では、メールのプロパティーから見ていきましょう。

件名は
「【AMERICAN EXPRESS】 会員専用サイト パスワードリセットのご案内」
危ない危ない、詐欺メールにいつも付けられてくる”[spam]”ってスタンプがありません。
どうやらこのメール、サーバーのスパムフィルターをくぐり抜けてきたようです。
”[spam]”スタンプとはスパムスタンプと呼ばれるサーバーからの注意喚起です。
これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「xmg <lgdlm@jhs-baseball.jp>」
誰これ?…
アメリカンエキスプレス社の正規ドメインは”americanexpress.com”のはず。
それとは全く異なるドメインを使ったメールアドレスです。
自社ドメインが有るのに別ドメインのメールを使って、このような大切なメールをユーザー
宛に送る企業なんて信用されません。
因みにこの”lgdlm@jhs-baseball.jp”というメールアドレスも眉唾です。


偽装されたメールアドレスを暴く!

では、このメールアドレスの真意をヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<lgdlm@jhs-baseball.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「A4DB8CD06064210C018FFCD0883D803A@jhs-baseball.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from jhs-baseball.jp (unknown [153.125.147.249])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

メールアドレスに書かれているドメイン”jhs-baseball.jp”と”Received”に書かれている
IPアドレス”153.125.147.249”との相関性を調べて嘘を暴きます。
これがその結果です。

全然違うIPアドレスが書かれているので、このメールアドレスは偽装されていることが確定!

今度は、この”Received”にあったIPアドレス”153.125.147.249”を使ってそのサーバーの
情報を拾ってみます。

表示されたのは、北海道の石狩市付近。
ということは、このメールは石狩市付近に設置されたメールサーバーが発信元と言うことです。


偽サイトはXserver上で稼働?!

では、本文を見ていきます。

第三者不正利用の疑いがありパスワードを再設定したなんてメールは、ユーザーにとって
大変重要なメールになります。
にもかかわらずこのメールの本文には宛名がありません。
重要な通知に宛名が無いなんて、金融機関としては信用おけませんよね?

それに、このリンク先のアドレスに使われているドメイン。

一見アメリカンエキスプレスのサイトっぽくも見えますが、これも使われているドメインは
kokorowave.com”ですからアメリカンエキスプレス社のものではありません。

早速このドメインについて調べてみましたところ、ドメインの取得はスタードメインに
依頼したようです。
そして取得者のお住まいは東京都品川区北品川と記載されています。

このドメインを割当てているIPアドレスは”210.188.201.162”とのことなので、
このIPアドレスを元にその割り当て地を確認してみます。

結果は、ご覧の通り東京都千代田区九段付近。
使っているレンタルサーバーはXserverです。
ここで開かれている偽サイトに行ってみようとすると画面の右下にこのような警告が…

ウイルスバスターにサイトをブロックされてしまいました。

行くなと言われると、余計に見たくなるのが人情と言うヤツ(笑)
ちょっとだけ覗いてみました。
すると、下のようなアメリカンエキスプレスユーザーサイトのログインページが開きました。
もちろん偽サイトですよ!

まずここにユーザーアカウントを入力させログインのためのIDとパスワードを詐取します。
引続き以降のページで個人情報やクレジットカード情報を盗み取るのが奴らの手口です。


まとめ

私は、アメリカンエキスプレスのクレジットカードを持っていないので少々危険を冒しても
大丈夫ですが、こちらのカードを持っている方は、このような悪質なメールに騙されないように
十分ご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了