『詐欺メール』「【エポスカード】リボ・分割変更を本日23:59まで承ります」と、来た件

新たな手口!
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!

色々考えますな…

今度はその手で来たか。。。
架空の支払いを装ってリボの分割変更の提案してきましたね。

このメールはエポスカードに成りすましたフィッシング詐欺メールです。
なかなか色々と考えてきますね…

件名は
「[spam] 【エポスカード】リボ・分割変更を本日23:59まで承ります」
何と書こうがこのメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「qugqeisnf@zentoyohyoh.net」
毎度の話で恐縮なんですが、エポスカードさんの正規ドメインは”eposcard.co.jp
自社ドメインを持っている企業がそれ以外のドメインを使ったるアドレスでユーザーに
メールを送るなんてあり得ませんから!
それ以前に、このメールアドレスだって差出人本人のものかどうかわかりませんよ!

またしても「さくらインターネット」ユーザーの仕業

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<qugqeisnf@zentoyohyoh.net>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「Message-ID: <9191E562918D66B5EA982CA55FC713D0@zentoyohyoh.net>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「Received: from zentoyohyoh.net (unknown [153.127.198.236])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

今回はまず、メールアドレスに使われているドメイン”zentoyohyoh.net”から調べてみます。

割当てているIPアドレスが表示されたということは、存在するIPアドレスのようです。
このドメインを割当てているIPアドレスは”153.120.82.90
本来なら”Received”に記載されているIPアドレスと同じになるはずですが、全く異なるけったが
表示されていますのでこの差出人は嘘を付いていることになります。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

このIPアドレスのISPの項目欄に「Sakura Internet Inc.」と書かれていますから、この差出人は
内の調査ではよく出てくる例の「さくらインターネット」ユーザーですね。

詐欺サイトは隣国首都に?!

このメール本文にはたくさんのリンクが配置されていますが、そのすべてが同じリンク先で
そのリンク先のURLはこちらです。

まずこのサイトの危険性についてトレンドマイクロの「サイトセーフティーセンター」で
確認してみました。

評価は既に「危険」とされています。
そのカテゴリは「正規のWebサイトを偽装してユーザ名やパスワードなどの情報を収集する
詐欺サイトです」と書かれています。

このURLで使われているドメインは、サブドメインを含め”vard.eposacon.com
次に、このドメインの持ち主とその所在を確認してみました。

持ち主は「中国広西チワン族自治区鶴山」に在住の方。
このドメインは「MAFF社」に管理が委託されているようです。
このドメインを割当てているIPアドレスは”115.144.69.106
このIPアドレスを元にその割り当て地を確認してみます。

そう、さくらインターネットユーザーと隣国の首都はセットでしたね。(笑)
ここでエポスカードの偽サイトが運営されているんですね。

安全は手段を使ってそのサイトへ訪れてみました。

本家エポスカードさんのサイトも覗いてみましたが、瓜二つでURL以外見分けは付きません。

まとめ

クレジットカード会社に成りすますフィッシング詐欺メールは五万とありますが
「リボ・分割変更」の案内を騙ったものは初めてでした。
敵も百戦錬磨、色々と考えてきますね。
こりゃ気を付けないと、です。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メール【エポスカード】リボ・分割変更を本日23:59まで承ります,IPアドレス,Message ID,Received,Return-Path,SAKURA Internet Inc.,Site Safety Center,SPAM,vard.eposacon.com,zentoyohyoh.net,サイバーアタック,サイバー犯罪,さくらインターネット,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,リボ・分割変更,偽サイト,拡散希望,注意喚起,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart