存在しないドメインのメールアドレスから
アメリカンエキスプレスを名乗り、ありもしない利用金額を提示し詐欺サイトへ誘いこんで
個人情報やクレジットカードの情報を盗み取ろうとするこのようなフィッシング詐欺メールが
届きました
では、そのメールのプロパティーから見ていきましょう。
件名は
「[spam] 【AMERICAN EXPRESS】ご請求金額確定のご案内」
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「rhq <waysiusbc@bjda.asia>」
アメリカンエキスプレスの正規ドメインは”americanexpress.com”
このメールアドレスのドメインは”bjda.asia”と全く異なります。
信用第一のクレジットカード会社が自社ドメインではないメールアドレスで利用金額の
案内メールを送るはずがありません!
それ以前にこの”waysiusbc@bjda.asia”なんてメールアドレスも偽装かも知れませんよ!
では、このメールアドレスが偽装されていないかヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「<waysiusbc@bjda.asia>」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「<202202190151574107266@bjda.asia>」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from bjda.asia (unknown [153.120.25.188])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
メールアドレスに使われているドメインは”bjda.asia”
このドメインは本当に使われてるものかどうか確認してみましょう!
「NOT FOUND」と書かれているのでどうやらこのドメインは使われていないようです。
使われていないドメインでメールを送ることはできませんのでこの差出人はメールアドレスを
偽装していると断定できます。
では、この”Received”にあったIPアドレス”153.120.25.188”ってそのサーバーの情報を
拾ってみます。
プロバイダー名を見てください。
またまた「さくらインターネット」ユーザーの仕業ですね…(;^_^A
表示された地図は、さくらインターネット本社のある大阪市北区大深町付近。
懲りない輩です。
次回口座振替日が事後報告とは
続いて本文です。
「次回口座振替情報」はこのように書かれています。
| カード番号(下5桁)10002
口座振替金額944,211円
口座振替日2022年02月18日 |
それにしても94万とは結構な金額ですね。(^▽^;)
このメールを受け取ったのは2022年02月19日の夜中の1時51分。
次回口座振替日が2022年02月18日と書かれていますが、もう既に過ぎています。
こんな大金の振替情報が事後報告なんてあり得るのでしょうか?
でも奴らは、そんなつじつまなんてどうでもいいのです。
だって目的は、受信者を不安に陥らせリンクボタンを押させることだから。
で、そのリンク先のURLがこちらです。
”アメリカンエキスプレス”正規のスペルは”americanexpress”
でもよく見ると、ここに書かれているスペルは”americanexprecce”
これは「ホモグラフ攻撃」というもので、URLのホスト名の文字として、正規サイトに
酷似した異なる文字を用いて偽装し、偽のサイトに誘導するスプーフィング攻撃の一種で
同形異字語攻撃とも呼ばれます。
まず、このURLの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみました。
ここでの評価は「危険」
既に危険性は周知されているようです。
その理由は「このWebサイトに有害なプログラムが含まれるか、閲覧者にフィッシング詐欺を
行う可能性があります。」と書かれています。
このURLで使われているドメインは”americanexprecce.com”
では、このドメインは誰のものでどこで使われているのでしょうか?
もちろん調べてみました。
ドメインの申請に使われている住所は「中国広西チワン族自治区鶴山」で申請者は個人名です。
このドメインを割当てているIPアドレスは”115.144.69.115”
今までの経験上「さくらインターネット」ユーザーからのメールの場合、リンク先のサイトは
隣国の首都で運営されていることが多かったのですが、今回はどうでしょうか?
案の定の結果ですね。
やはりフィッシング詐欺サイトを運営しているウェブサーバーは隣国の首都でした。
リンク先サイトを安全な方法で開いてみると予想通りアメリカンエキスプレスカードの
ユーザー専用サイト。
本物のサイトと見分けは全く付きません(^-^;
実際にここで詐欺が行われるのです。
まとめ
またもや「さくらインターネット」ユーざーの仕業でしたね。
全くけしからん輩です。
このようなすぐに見分けられるような詐欺メール送って何が楽しいのでしょうか?
私には全く理解できません。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |