『詐欺メール』「【TS3 TS CUBICCARD】重要:必ずお読みください」と、来た件

とても巧妙な詐欺メール

トヨタファイナンスを名乗り、TS CUBICCARDの架空な支払いを装って偽サイトのリンクへ
誘い込み、個人情報やクレジットカードの情報を盗み取ろうとするフィッシング詐欺メールが
届きました。

トヨタファイナンスらしいカラーリングでなんだかとても巧妙に作られていますね。

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【TS3 TS CUBICCARD】重要:必ずお読みください」
支払金額の案内の件名に「必ずお読みください」ってのはどうなんでしょうか？
普通なら「カード利用のお知らせ」とか「ご請求金額のご案内」とかになると思うのですが。
それほどまでに読んでほしいってことなんでしょうけどね。(笑)
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類なのは明らか。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"トヨタファイナンス株式会社" <info@ts3card.com>」
確かに「TS3 TS CUBICCAR」のドメインは”ts3card.com”ですが、もう既に件名の”[spam]”
でフィッシング詐欺メール確定なのでどう書いても無理。

またもやさくらインターネットユーザーの仕業

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、この”Received”にあったIPアドレス”133.167.78.46”を使ってそのサーバーの情報を
拾ってみます。

調べるまでも無いのですが、やはり差出人は「さくらインターネット」のユーザーで
IPアドレスの割り当て地も「さくらインターネット」の本社がある大阪市北区中之島付近。
さくらインターネットに苦情とかないんでしょうかね？

国内のクスサーバーがサイトドメインのを管理

では、メールの本文を見ていきます。
支払額は「113,720円」と結構な金額ですね。
もしこのカードの会員だったら慌てて確認しに行きそうです。(^▽^;)
その慌てて押してしまうリンクボタンは、赤いボタンとクレーのボタンの2つが用意されています。
赤いボタンの方のリンク先のURLはこちら。

そして「初めてログインされる方」と書かれたグレーのリンク先のURLはこちら。

但し、実際にはグレーのボタンのリンク先にはウェブサイトは存在せずダミーのようで
稼働しているのは赤いボタンのリンク先のみ。
まずはこのリンク先サイトの危険度をトレンドマイクロの「サイトセーフティーセンター」で
確認してみました。

結果はもちろん真っ黒！
危険なフィッシングサイトとして登録されています。

このURLで使われているドメインは、サブドメインを含め”ts.aovywbrhsjfs.com”
例によってこのドメインの持ち主と割り当て地を確認してみます。

どうやらこのドメインは大阪に本社がある「エックスサーバー」さんで取得管理している
ようです。
持ち主は、企業名になっています。
このドメインを割当てているIPアドレスは”192.3.228.53”って事なので、このIPアドレスを
元にその割り当て地を確認してみます。

表示されたのは、アメリカテキサス州ダラス。
ここで運営されている「TS CUBICCARD」に偽サイトへ安全な方法を使って繋いでみました。

開いたのは丸っとコピーされた偽のログインページ。
丸々コピーされているので、注意喚起まで本家サイトと同じものがそれらしく表示されて
いますね。

まとめ

今回のメールは、本文もあたかも本物から送られてきたようなしっかりした作りになっています。
メールアドレスが本物だと言って鵜呑みにしてはいけません。
差出人のメールアドレスなんて知識さえあれば簡単に偽装できてしまいますので。
このような紛らわしい詐欺メールもたくさんあるのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;