『詐欺メール』「【重要なお知らせ】AEON ご利用確認のお願い」と、来た件

メールアドレスは偽装されています！

イオン銀行に成りすまし、AEON CARDの第三者不正利用をネタに詐欺サイトへ誘導する
フィッシング詐欺メールが届きました。
こちらがそのメールです。

もう見飽きてしまった本文と、Yaheiと呼ばれる気持ちの悪い中華フォントで綴られた
このメール。

いつものようにプロパティーから見ていきましょう。

件名は
「[spam] 【重要なお知らせ】AEON ご利用確認のお願い」
「重要なお知らせ」前に付けられたスタンプ”[spam]”は、スパムスタンプと呼ばれるサーバー
からの注意喚起で、これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「AEON <userid@aeon.co.jp>」
確かに”aeon.co.jp”はAEONさんの正規ドメインですが、件名の”[spam]”が示す通り
このメールは、フィッシング詐欺メールですから当然偽装工作されています。

さくらインターネットユーザーはご常連

では、このメールのヘッダーソースを確認し偽装を暴いていきましょう。
ソースから抜き出した「フィールド御三家」がこちらです。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

やはり思った通り「さくらインターネット」のユーザーでした。

次にこのIPアドレスを元にその割り当て地を確認してみます。

さくらインターネット本社と同じ「大阪市北区梅田」とおおよそ同じ位置の地図が表示
されました。
どうやら差出人は「SAKURA-B」というサーバーに収容されたメールサーバーを利用した
ようですね。
そして注目したいのは、このIPアドレスの脅威のレベルは「高」と認識されているようです。
その詳細は「メールによるサイバーアタック」
このメールは相当危なさそうです！

詐欺サイトの旬は短し！

引き続き本文を見ていきます。

もう、毎回、毎回、嫌と言うほど見飽きた本文なのでいちいち説明は省きます。
このメールにある詐欺サイトへのリンクは4箇所。
当然そのリンク先はすべて同じサイト。
そのリンク先のURLはこちらです。

それらしいドメイン付いていますがAEONさんの正規ドメインは”aeon.co.jp”で
”aeon-jp.top”ではありません。

このリンク先サイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で
確認してみるとこのように表示されました。

安全性の評価は「危険」と書かれており、そのカテゴリは「フィッシング」
既に業界ではその危険性は周知されているようです。

ドメインの持ち主を調べてみましたが、登録者は中国江蘇省の方としか分かりませんでした。

試しに安全な方法でサイトを訪れてみましたが「詐欺サイトの旬は短し！」
危険を感じたんでしょう、残念ながらサイトは既に閉鎖されていました。

まとめ

私のように大量の詐欺メールを捌いていれば一目でそれと分かりますが、今回は、差出人の
メールアドレスが偽装されていたため、ぱっと見では判断が付きにくいメールでした。
それにサイトのURLも”ホモグラフ攻撃”されていたので見分けにくいものとなっていました。
最初にも書いたように、こういったリンクからログインを促すようなメールは絶対に信用せず
スマホアプリかネット検索し正規サイトを探してログインするように心掛けましょう！
(※ホモグラフ攻撃とは、正規サイトによく似たURLで詐欺サイトに誘い込むこと)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;