サイトアイコン HEARTLAND

『詐欺メール』「【重要】 三菱UFJカード 株式会社から緊急のご連絡」と、来た件

三菱UFJカードを騙る詐欺メール
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

自分宛てに自分が詐欺メールを送る?!

2月も後半に差し掛かっているのに今日の最高気温予想は平年を大きく下回る7℃。
今年はずいぶんと寒い冬となりましたね。
今朝の詐欺メールはこちら。

三菱UFJニコス銀行を名乗るフィッシング詐欺メールです。

では、メールのプロパティーから見ていきます。

件名は
「[spam] 【重要】 三菱UFJカード 株式会社から緊急のご連絡」
詐欺メールにはありがちな件名ですね。
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人部分には、私のメールアドレスが記載されています。
私が自分宛てにフィッシング詐欺メールを送ったことになっています(笑)
どういうつもりで書いているのでしょうか?・・・


差出人の本当のメールアドレスは?

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<mufg-update@asqvrvf.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<3C7D995AC3B37B926D8E6D47B7BD957D@vqdczs>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from asqvrvf.cn (unknown [134.122.196.25])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

ではまず、”Return-Path”にあるメールアドレス”mufg-update@asqvrvf.cn”の信ぴょう性に
ついてこの”Received”にあったIPアドレスとの相関性から確認してみました。

asqvrvf.cn”ってドメインを割当てているIPアドレスは”134.122.196.25”と出ています。
これは”Received”にあったIPアドレスと同じもの。
と言うことは、この差出人の本当のメールアドレスは”mufg-update@asqvrvf.cn”で間違い
なさそうですね。
ついでにこのドメインの持ち主を確認してみると、日本ではあまり見られない漢字3文字の
氏名のお方。
登録に使われたメールアドレスは、足が付かないようにかGmailのメールアドレス。
そしてこのドメインは中国のアリババに管理が委託されていると書かれています。

このIPアドレスの割り当て地は、シンガポール付近のようです。


詐欺サイトは完璧なコピーサイト

では本文を見ていきます。
細かいことは図に記入しておきました。

笑えるのは書き出しの「本」って文字。
消し忘れたのでしょうね、でもなんて書こうとしたんでしょぅか?(笑)

相変わらずアルファベットが全角ですよね。
これ詐欺メールの1つの特徴なので覚えておいても損はありません。

なんだかんだ書いてありますが、このメールの最大の目的は、リンクボタンを押させて
詐欺サイトへ導くこと。
そのリンクは「ご利用確認はこちら」と書かれた青いボタンに付けられており
そのリンク先のURLがこちらです。

でもこれはリダイレクトされるように仕組まれていて、実際につながるのはこちらのURL。

このサイトの危険性についてノートンの「セーフウエブ」で調べてみましたが
「[警告]に相当するほど危険とは見なされません」と出て、まだあまり危険とは
認識されていないようです。

このサイトで使われているドメインは”hbcd.v18dt4.cn
持ち主と割り当て地を確認してみました。

まずは持ち主は、メールアドレスの際と全く同じ人物の持ち物でした。

割当てているIPアドレスは”155.94.169.251
このIPアドレスの割り当て地を確認してみるとロサンゼルス付近の地図が表示されました。

この地で運営されている詐欺サイトを安全な方法でサイトにつないでみると、三菱UFJニコス
カード会員専用ページの偽ページが開きました。

本物のサイトも見てきましたが、全く見分けが付かないほど精巧に作られているので
これじゃ誰もが騙されてしまいます。


まとめ

このメールを見分けるポイントは、まず差出人のメールアドレスが、自分の物になっている
ところに気づかなければなりません。
そして、リンクされるサイトのURLが三菱UFJニコスの物でないことにもヒントが隠されて
います。
いずれにしても詐欺サイトに引きずり込まれたら最後。
こんな精巧なサイトは見分けが付かないので簡単に騙されてしまうことでしょう。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了