『詐欺メール』「【ジャックスカード】重要なお知らせ」と、来た件

メールもサイトも相当危険だった
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

「重要なお知らせ」にご用心

今度は「ジャックスカード」に成りすまし個人情報を更新しろと言った内容のフィッシング
詐欺メールが届きました。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 【ジャックスカード】重要なお知らせ」
「重要なお知らせ」と銘打った詐欺メールが非常に多いくなっていますね。
この前にクレジットカード会社名を付け替えればいくらでも詐欺メールを作れるので
詐欺グループにとって便利な言葉なのでしょうね。
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”ジャックスカード会社” <no-reply@jaccss.word>」
jaccss.word”とジャックスカードらしいドメインを付けていますが、ジャックスカードの
正規ドメインは”jaccs.co.jp”ですので間違ってますね。
それに、このドメインだって偽装されているかも知れません。

使われていないドメインでメールを送る?!

では、それも含めてこのメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<aobozv@jaccs.co.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
しかし、差出人で”jaccss.word”を使っておきながら、なぜここで”jaccs.co.jp”を
使っているのか。
凡人の私には理解できません(;^_^A
Message-ID:「<DF6B109D12F4D6E3F908F151304DE321@jaccs.co.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from jaccs.co.jp (unknown [116.85.49.158])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、差出人のメールアドレスにあった”jaccss.word”について調べてみました。

結果は見ての通り。
このドメインは現在誰にも使われていないようです。
使われていないドメインでメールを送ることはできませんので、やはりこのメールアドレスは
偽装であることが証明されました。

では、この”Received”にあったIPアドレス”116.85.49.158”を使ってそのサーバーの情報を
拾ってみます。

このIPアドレスはどうやら北京市で使われているようです。
それにこのIPアドレスは、脅威のレベルが高いと判断されました。
その脅威の詳細は「メールによるサイバーアタック」とされています。
やはりこのメールは相当危険なメールのようですよ!

リンク先は相当に危険?!

続いて本文を見ていきます。

書かれているのは、システムアップグレードで再認証が必要になったのでリンクから
個人情報を更新しろと言った内容です。
「いつもジャックスインターコムクラブWEBサービスをご利用いただき…」から始まる
このメール、このくだりをコピペしたのでしょうか、黄色にマーキングした”いつも”って
部分も含めてペーストしてしまったようで、他2か所にも”いつも”が付いちゃっています。
けっして「いつもジャックスインターコムクラブWEBサービス」がサービス名じゃ
ありませんので…(笑)

さて、このメールには合計4箇所のリンクが付けられていますが、そのリンクだ先はどれも
同じこちらのURLにリンクされています。

では、このURLをGoogleの「セーフ ブラウジング」で確認してみたところこのように
表示されました。

「このサイトは安全ではありません」と書かれており、リンク先は危険なサイトのようです。

使われているドメインは”www.ou.jacesos.com”です。
このような危険なサイトは誰が運営しているのか、ドメインを少し調査してみます。

このドメインの持ち主は、マレーシアのクアラルンプールにある企業のようです。
このドメインを割当てているIPアドレスは”192.227.228.13”とされていますから
このIPアドレスを元にその割り当て地を確認してみます。

すると表示された地図は、アメリカニューヨーク州バッファロー付近。
こんな場所に置かれたウェブサーバーでリンク先のサイトは運営されているようです。
ここでも脅威のレベルは「高」とされていて、その種類は「Webによるサイバーアタック」と
書かれていますね。

どのようなサイトが作られているのか。
気になって訪問してみましたが、フィッシング詐欺サイトの旬は本当に短く既にサイトは
閉鎖されており、リダイレクトされてGoogleの検索ページに接続されました。

まとめ

Googleの「セーフ ブラウジング」は比較的危険なサイトとして表示されにくいのですが
今回のこのサイトは相当危険だったのでしょうね。
安易にリンクは開かないように気を付けたいものです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールGoogle,IPアドレス,jaccs.co.jp,jaccss.word,Message ID,no-reply,ou.jacesos.com,Received,Return-Path,Site Safety Center,SMS,SPAM,クアラルンプール,サイバーアタック,サイバー犯罪,ジャックスインターコムクラブ,ジャックスカード,スミッシング,セーフブラウジング,ドメイン,なりすまし,バッファロー,フィッシング詐欺,ヘッダーソース,ワードサラダ,使われていないドメイン,偽サイト,北京市,拡散希望,注意喚起,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要,重要なお知らせ

Posted by heart