『詐欺メール』「【エポスカード】リボ・分割変更を本日23:59まで承ります」と、来た件

色々考えますな…

今度はその手で来たか。。。
架空の支払いを装ってリボの分割変更の提案してきましたね。

このメールはエポスカードに成りすましたフィッシング詐欺メールです。
なかなか色々と考えてきますね…

件名は
「[spam] 【エポスカード】リボ・分割変更を本日23:59まで承ります」
何と書こうがこのメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「qugqeisnf@zentoyohyoh.net」
毎度の話で恐縮なんですが、エポスカードさんの正規ドメインは”eposcard.co.jp”
自社ドメインを持っている企業がそれ以外のドメインを使ったるアドレスでユーザーに
メールを送るなんてあり得ませんから！
それ以前に、このメールアドレスだって差出人本人のものかどうかわかりませんよ！

またしても「さくらインターネット」ユーザーの仕業

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

今回はまず、メールアドレスに使われているドメイン”zentoyohyoh.net”から調べてみます。

割当てているIPアドレスが表示されたということは、存在するIPアドレスのようです。
このドメインを割当てているIPアドレスは”153.120.82.90”
本来なら”Received”に記載されているIPアドレスと同じになるはずですが、全く異なるけったが
表示されていますのでこの差出人は嘘を付いていることになります。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

このIPアドレスのISPの項目欄に「Sakura Internet Inc.」と書かれていますから、この差出人は
内の調査ではよく出てくる例の「さくらインターネット」ユーザーですね。

詐欺サイトは隣国首都に？！

このメール本文にはたくさんのリンクが配置されていますが、そのすべてが同じリンク先で
そのリンク先のURLはこちらです。

まずこのサイトの危険性についてトレンドマイクロの「サイトセーフティーセンター」で
確認してみました。

評価は既に「危険」とされています。
そのカテゴリは「正規のWebサイトを偽装してユーザ名やパスワードなどの情報を収集する
詐欺サイトです」と書かれています。

このURLで使われているドメインは、サブドメインを含め”vard.eposacon.com”
次に、このドメインの持ち主とその所在を確認してみました。

持ち主は「中国広西チワン族自治区鶴山」に在住の方。
このドメインは「MAFF社」に管理が委託されているようです。
このドメインを割当てているIPアドレスは”115.144.69.106”
このIPアドレスを元にその割り当て地を確認してみます。

そう、さくらインターネットユーザーと隣国の首都はセットでしたね。(笑)
ここでエポスカードの偽サイトが運営されているんですね。

安全は手段を使ってそのサイトへ訪れてみました。

本家エポスカードさんのサイトも覗いてみましたが、瓜二つでURL以外見分けは付きません。

まとめ

クレジットカード会社に成りすますフィッシング詐欺メールは五万とありますが
「リボ・分割変更」の案内を騙ったものは初めてでした。
敵も百戦錬磨、色々と考えてきますね。
こりゃ気を付けないと、です。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;