『詐欺メール』「【ビザカード】現在カードのご利用が一時停止されました」と、来た件

世界のVISAが中国のドメインで？！

毎日、毎日、同じ文面のこのメール。
今日はVISAカードに成りすまして送られてきました。
差出人をVISAに変えただけで一語一句いつも同じ。
因みに下の画像が先日受け取ったAEONに成りすましたフィッシング詐欺メール。

使い回しはさぞ便利でしょうね…(笑)

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 【ビザカード】現在カードのご利用が一時停止されました」
”ビザ”って書かれると違和感を持つのは私だけでしょうか？
やっぱり”VISA”ですよね。(笑)
このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「VISAカード <support-jp.visa@ncurnld.cn>」
VISAカードさんには”visa.co.jp”ってちゃんと正規ドメインが有るのに、会員向けのメールで
”ncurnld.cn”なんて中国のトップレベルドメインのメールアドレスを使う必要がありますか？
こんな簡単に偽装できる部分にこのようなドメイン使って、余計に怪しまれるとは思わない
のでしょうか？

ドメインの持ち主は決まって読めない漢字の方

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まずは、メールアドレスに使われているドメイン”ncurnld.cn”について調べてみます。

この結果から、このドメインの持ち主は読めない漢字の氏名とアリババに管理が委託されて
いることから恐らく中国の方。
そしてこのドメインを割当てているIPアドレスは”106.75.35.165”
”Received”にあったIPアドレスと同じですから、この差出人はメールアドレスの偽装を行う
ことなくこのメールを送ってきていることが分かります。

では今度は、先程とは逆にこのIPアドレス”106.75.35.165”の情報を拾ってみます。

このIPアドレスには”ncurnld.cn”とは別に”ao3mn1.shop”なんてドメインも割り当てられて
いることが判明！
こちらのドメインも要注意です！！
このドメインは、中国の河南省の住所で登録されています。
やはりドメインの管理はアリババですね。

では、このIPアドレスを元にその割り当て地を確認してみます。

表示された場所は、中国北京の天安門広場東側辺り。
もちろんおおよその位置なのでピンポイントではありませんが、少なくともこのメールは
北京市内にあるサーバーを介して送られてきたようです。

最後にこんなオチが

では本文、といきたいところですが、もう穴が開くほど見飽きた文面なので本文の解説は割愛。
気になるのは「ご利用確認はこちら」と書かれたところに付けられたリンク先です。
そのリンク先のURLはこちら。

えらくあっさりした短いURLですね。

まずはこのURLの危険性についてトレンドマイクロの「サイトセーフティーセンター」で
確認してみました。

既に危険だと周知されていました。
カテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは”go-visa.cn”
このドメインも、その持ち主と割り当て地を確認してみます。

持ち主は、先程と同様に私には読むことのできない難しい漢字2文字に氏名の方。
そしてこのドメインを割当てているIPアドレスは”23.94.40.186”
今度は、このIPアドレスを元にその割り当て地を確認してみます。

表示されたのはアメリカのシカゴ付近。

この地に設置されたウェブサーバーでどのようなサイトが運営されているのでしょうか？
安全は方法でちょっとだけ覗いてみました。

えっ、ど初っ端からカード番号聞いてくるの？(^▽^;)
いくら何でもそれは無いでしょ？？
普通、ウソでもいいからログインさせるでしょうに…(笑)
こりゃダメだ・・・

まとめ

最後にこんなオチですか。
めちゃめちゃきっちりした詐欺サイトもあればこんな冗談のようなサイトも有って、詐欺犯も
ピンキリなんですね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;