サイトアイコン HEARTLAND

『詐欺メール』「【AMERICAN EXPRESS】ご請求金額確定のご案内」と、来た件

「ホモグラフ攻撃」で錯覚?!
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

存在しないドメインのメールアドレスから

アメリカンエキスプレスを名乗り、ありもしない利用金額を提示し詐欺サイトへ誘いこんで
個人情報やクレジットカードの情報を盗み取ろうとするこのようなフィッシング詐欺メールが
届きました

では、そのメールのプロパティーから見ていきましょう。

件名は
「[spam] 【AMERICAN EXPRESS】ご請求金額確定のご案内」
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「rhq <waysiusbc@bjda.asia>」
アメリカンエキスプレスの正規ドメインは”americanexpress.com
このメールアドレスのドメインは”bjda.asia”と全く異なります。
信用第一のクレジットカード会社が自社ドメインではないメールアドレスで利用金額の
案内メールを送るはずがありません!
それ以前にこの”waysiusbc@bjda.asia”なんてメールアドレスも偽装かも知れませんよ!

では、このメールアドレスが偽装されていないかヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<waysiusbc@bjda.asia>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<202202190151574107266@bjda.asia>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from bjda.asia (unknown [153.120.25.188])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

メールアドレスに使われているドメインは”bjda.asia
このドメインは本当に使われてるものかどうか確認してみましょう!

「NOT FOUND」と書かれているのでどうやらこのドメインは使われていないようです。
使われていないドメインでメールを送ることはできませんのでこの差出人はメールアドレスを
偽装していると断定できます。

では、この”Received”にあったIPアドレス”153.120.25.188”ってそのサーバーの情報を
拾ってみます。

プロバイダー名を見てください。
またまた「さくらインターネット」ユーザーの仕業ですね…(;^_^A
表示された地図は、さくらインターネット本社のある大阪市北区大深町付近。
懲りない輩です。


次回口座振替日が事後報告とは

続いて本文です。

「次回口座振替情報」はこのように書かれています。

カード番号(下5桁)10002

口座振替金額944,211円

口座振替日2022年02月18日

それにしても94万とは結構な金額ですね。(^▽^;)
このメールを受け取ったのは2022年02月19日の夜中の1時51分。
次回口座振替日が2022年02月18日と書かれていますが、もう既に過ぎています。
こんな大金の振替情報が事後報告なんてあり得るのでしょうか?

でも奴らは、そんなつじつまなんてどうでもいいのです。
だって目的は、受信者を不安に陥らせリンクボタンを押させることだから。
で、そのリンク先のURLがこちらです。

”アメリカンエキスプレス”正規のスペルは”americanexpress
でもよく見ると、ここに書かれているスペルは”americanexprecce
これは「ホモグラフ攻撃」というもので、URLのホスト名の文字として、正規サイトに
酷似した異なる文字を用いて偽装し、偽のサイトに誘導するスプーフィング攻撃の一種で
同形異字語攻撃とも呼ばれます。

まず、このURLの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみました。

ここでの評価は「危険」
既に危険性は周知されているようです。
その理由は「このWebサイトに有害なプログラムが含まれるか、閲覧者にフィッシング詐欺を
行う可能性があります。」と書かれています。

このURLで使われているドメインは”americanexprecce.com
では、このドメインは誰のものでどこで使われているのでしょうか?
もちろん調べてみました。

ドメインの申請に使われている住所は「中国広西チワン族自治区鶴山」で申請者は個人名です。
このドメインを割当てているIPアドレスは”115.144.69.115
今までの経験上「さくらインターネット」ユーザーからのメールの場合、リンク先のサイトは
隣国の首都で運営されていることが多かったのですが、今回はどうでしょうか?

案の定の結果ですね。
やはりフィッシング詐欺サイトを運営しているウェブサーバーは隣国の首都でした。

リンク先サイトを安全な方法で開いてみると予想通りアメリカンエキスプレスカードの
ユーザー専用サイト。
本物のサイトと見分けは全く付きません(^-^;
実際にここで詐欺が行われるのです。


まとめ

またもや「さくらインターネット」ユーざーの仕業でしたね。
全くけしからん輩です。
このようなすぐに見分けられるような詐欺メール送って何が楽しいのでしょうか?
私には全く理解できません。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了