世界のVISAが中国のドメインで?!毎日、毎日、同じ文面のこのメール。 今日はVISAカードに成りすまして送られてきました。 差出人をVISAに変えただけで一語一句いつも同じ。 因みに下の画像が先日受け取ったAEONに成りすましたフィッシング詐欺メール。
使い回しはさぞ便利でしょうね…(笑) では、メールのプロパティーから見ていきましょう。 件名は 「[spam] 【ビザカード】現在カードのご利用が一時停止されました」 ”ビザ”って書かれると違和感を持つのは私だけでしょうか? やっぱり”VISA”ですよね。(笑) このメールには”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「VISAカード <support-jp.visa@ncurnld.cn>」 VISAカードさんには”visa.co.jp”ってちゃんと正規ドメインが有るのに、会員向けのメールで ”ncurnld.cn”なんて中国のトップレベルドメインのメールアドレスを使う必要がありますか? こんな簡単に偽装できる部分にこのようなドメイン使って、余計に怪しまれるとは思わない のでしょうか?
ドメインの持ち主は決まって読めない漢字の方では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<support-jp.visa@ncurnld.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20220302233228513720@ncurnld.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mail.ncurnld.cn (unknown [106.75.35.165])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まずは、メールアドレスに使われているドメイン”ncurnld.cn”について調べてみます。 この結果から、このドメインの持ち主は読めない漢字の氏名とアリババに管理が委託されて いることから恐らく中国の方。 そしてこのドメインを割当てているIPアドレスは”106.75.35.165” ”Received”にあったIPアドレスと同じですから、この差出人はメールアドレスの偽装を行う ことなくこのメールを送ってきていることが分かります。 では今度は、先程とは逆にこのIPアドレス”106.75.35.165”の情報を拾ってみます。 このIPアドレスには”ncurnld.cn”とは別に”ao3mn1.shop”なんてドメインも割り当てられて いることが判明! こちらのドメインも要注意です!! このドメインは、中国の河南省の住所で登録されています。 やはりドメインの管理はアリババですね。 では、このIPアドレスを元にその割り当て地を確認してみます。 表示された場所は、中国北京の天安門広場東側辺り。 もちろんおおよその位置なのでピンポイントではありませんが、少なくともこのメールは 北京市内にあるサーバーを介して送られてきたようです。
最後にこんなオチがでは本文、といきたいところですが、もう穴が開くほど見飽きた文面なので本文の解説は割愛。 気になるのは「ご利用確認はこちら」と書かれたところに付けられたリンク先です。 そのリンク先のURLはこちら。 えらくあっさりした短いURLですね。 まずはこのURLの危険性についてトレンドマイクロの「サイトセーフティーセンター」で 確認してみました。 既に危険だと周知されていました。 カテゴリは「フィッシング」と書かれています。 このURLで使われているドメインは”go-visa.cn” このドメインも、その持ち主と割り当て地を確認してみます。 持ち主は、先程と同様に私には読むことのできない難しい漢字2文字に氏名の方。 そしてこのドメインを割当てているIPアドレスは”23.94.40.186” 今度は、このIPアドレスを元にその割り当て地を確認してみます。 表示されたのはアメリカのシカゴ付近。 この地に設置されたウェブサーバーでどのようなサイトが運営されているのでしょうか? 安全は方法でちょっとだけ覗いてみました。 えっ、ど初っ端からカード番号聞いてくるの?(^▽^;) いくら何でもそれは無いでしょ?? 普通、ウソでもいいからログインさせるでしょうに…(笑) こりゃダメだ・・・
まとめ最後にこんなオチですか。 めちゃめちゃきっちりした詐欺サイトもあればこんな冗談のようなサイトも有って、詐欺犯も ピンキリなんですね。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |