とても巧妙な詐欺メールトヨタファイナンスを名乗り、TS CUBICCARDの架空な支払いを装って偽サイトのリンクへ 誘い込み、個人情報やクレジットカードの情報を盗み取ろうとするフィッシング詐欺メールが 届きました。 トヨタファイナンスらしいカラーリングでなんだかとても巧妙に作られていますね。 では、このメールもプロパティーから見ていきましょう。 件名は 「[spam] 【TS3 TS CUBICCARD】重要:必ずお読みください」 支払金額の案内の件名に「必ずお読みください」ってのはどうなんでしょうか? 普通なら「カード利用のお知らせ」とか「ご請求金額のご案内」とかになると思うのですが。 それほどまでに読んでほしいってことなんでしょうけどね。(笑) このメールには”[spam]”とスタンプが付けられているので迷惑メールの類なのは明らか。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”トヨタファイナンス株式会社” <info@ts3card.com>」 確かに「TS3 TS CUBICCAR」のドメインは”ts3card.com”ですが、もう既に件名の”[spam]” でフィッシング詐欺メール確定なのでどう書いても無理。
またもやさくらインターネットユーザーの仕業では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<info@ts3card.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<EF05DBCD79C41F0D965A6D4E466B8BB7@rQm.ts3card.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mail0.ts3card.com (os3-369-17542.vs.sakura.ne.jp [133.167.78.46])」 あらら”sakura.ne.jp”が見え隠れしているので、これまた「さくらインターネット」の ユーザーが差出人のようですね。(;^_^A ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Received”にあったIPアドレス”133.167.78.46”を使ってそのサーバーの情報を 拾ってみます。 調べるまでも無いのですが、やはり差出人は「さくらインターネット」のユーザーで IPアドレスの割り当て地も「さくらインターネット」の本社がある大阪市北区中之島付近。 さくらインターネットに苦情とかないんでしょうかね?
国内のクスサーバーがサイトドメインのを管理では、メールの本文を見ていきます。 支払額は「113,720円」と結構な金額ですね。 もしこのカードの会員だったら慌てて確認しに行きそうです。(^▽^;) その慌てて押してしまうリンクボタンは、赤いボタンとクレーのボタンの2つが用意されています。 赤いボタンの方のリンク先のURLはこちら。 そして「初めてログインされる方」と書かれたグレーのリンク先のURLはこちら。 但し、実際にはグレーのボタンのリンク先にはウェブサイトは存在せずダミーのようで 稼働しているのは赤いボタンのリンク先のみ。 まずはこのリンク先サイトの危険度をトレンドマイクロの「サイトセーフティーセンター」で 確認してみました。 結果はもちろん真っ黒! 危険なフィッシングサイトとして登録されています。 このURLで使われているドメインは、サブドメインを含め”ts.aovywbrhsjfs.com” 例によってこのドメインの持ち主と割り当て地を確認してみます。 どうやらこのドメインは大阪に本社がある「エックスサーバー」さんで取得管理している ようです。 持ち主は、企業名になっています。 このドメインを割当てているIPアドレスは”192.3.228.53”って事なので、このIPアドレスを 元にその割り当て地を確認してみます。 表示されたのは、アメリカテキサス州ダラス。 ここで運営されている「TS CUBICCARD」に偽サイトへ安全な方法を使って繋いでみました。 開いたのは丸っとコピーされた偽のログインページ。 丸々コピーされているので、注意喚起まで本家サイトと同じものがそれらしく表示されて いますね。
まとめ今回のメールは、本文もあたかも本物から送られてきたようなしっかりした作りになっています。 メールアドレスが本物だと言って鵜呑みにしてはいけません。 差出人のメールアドレスなんて知識さえあれば簡単に偽装できてしまいますので。 このような紛らわしい詐欺メールもたくさんあるのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |