JCBカードを騙ったフィッシング詐欺メール仕事していると、多い時は2時間に1通程度のフィッシング詐欺メールが届きます。 今日は、その多い時に属してしまったようでAmazon、メルカリ、JCBカードと次から次へと 送られてきます。 今回ご紹介するのはその中の1通でJCBカードを騙ったフィッシング詐欺メールです。  では、メールのプロパティーから見ていきましょう。 件名は 「[spam] JCBカードをご利用のお客さま」 このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「MyJCB <myjcbjp-account@tzfehvv.cn>」 JCBを名乗っておきながらの中国ドメインは詐欺メールの当たり前。 簡単に偽装できるのになぜ偽装しないのかは不明… では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<myjcbjp-account@tzfehvv.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220214153610124854@tzfehvv.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from tzfehvv.cn (unknown [137.220.182.238])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
この”tzfehvv.cn”を使ったメールアドレスはご本人のものなのでしょうか? まずはそこから探ってみましょう。  結果、”Received”にあったIPアドレスと同じIPアドレスに割当てられていました。 なので、このメールアドレスは、差出人ご本人のものであることが確認されました。 では、このIPアドレスを使ってその位置情報を拾ってみます。  よくあるパターンですね。 割り当て地は「東京千代田区九段」付近。 利用プロバイダーは、シンガポールに本社がある「BGP Consultancy Pte Ltd」 このプロバイダー利用した「東京千代田区九段」付近にあるサーバーから送られてきた メールだったようです。
余りに幼稚な本文では本文。  なんかおかしいですよね。 件名に使われていた「JCBカードをご利用のお客さま」が 文頭から2連発で使われています。 それに説明のも前に「本人確認手続専用のURLをご連絡いたします。 引き続き下記URLより必要事項の入力をお願いいたします。」と 何に対する「引き続き」なんでしょうか? そして突然の「▼MyJCBサービス停止スケジュールのご案内はこちら」って 段落の順番待ちがっていませんか? 「▼ご利用確認はこちら」の下の2行に”?”が2つ。 何なんでしょうかね? 故意にここに”?”なんて入れないと思うので文字化けでもしているのでしょうか? でもって究極なのはこのくだり。 ※ ほんにん本人かくにん確認のために、ユーザーID、とーろく登録メールアドレス、 カードばんごー番号などのじょーほー情報をよーい用意してください。 |
もう、滅茶苦茶ですわ。(笑)
リダイレクトされて…このメールにある詐欺サイトへのリンクは合計3箇所。 リンク先のURLはこちら。  まず、このサイトの危険性についてトレンドマイクロの「サイトセーフティーセンター」で 確認してみました。  このサイトは「危険」とされており「正規のWebサイトを偽装してユーザ名やパスワードなど の情報を収集する詐欺サイトです。」と記載されていますので相当ヤバいサイトのようです。 更にURLの最初のプロトコル部を見てください。 このURLは”http”から始まっていますよね? ”http”プロトコルは暗号化されていない安全に接続できないサイトです。 今時は暗号化された”https”プロトコルが主流ですよ。 と思って、リンクを辿ってみるとリダイレクトされこんなURLのサイトに切り替わりました。  リダイレクトされているのに同じドメインのサイトにつながるとは見あるんだろうか? ドメインは”myjcb.jqkkzbt.cn” 今度は、このドメインは誰の持ち物でどこで使われているのか調べてみました。  持ち主は、メールドメインを調べた時と同じ人物でした。 このドメインを割当てているIPアドレスは”155.94.201.59”って事なので、このIPアドレスを 元にその割り当て地を確認してみました。  結果はロサンゼルス付近の地図が表示されました。 この地でどのようなサイトが開かれているのかちょっとだけ見てきました。  MyJCBサイトのコピーです。 サイトってごっそりダウンロードできるんでコピーなんて簡単なんです。 だからこんなサイトが後を絶たないんですよ!
まとめそれにしてもこのような差出人でこのような幼稚な本文じゃ騙されたくてもね…(;^_^A このような幼稚なものばかりではなく巧妙なのものも有りますので十分にご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |