『詐欺メール』続「三菱UFJ会社から緊急のご連絡」と、来た件

迷惑メール
Googleさんからこのようなメールをいただきました。

サイトのカテゴリ上、喜んでよいのか悲しむべきなのか悩むところですが…(;^_^A
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

三菱UFJ銀行を名乗る詐欺メール

そんな私事はそれくらいにして、今朝もたくさん届いている中からこちらのメールを
ご紹介しようと思います。

三菱UFJ銀行を名乗り、カタコトの日本語を巧みに操るフィッシング詐欺メールです。(笑)

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 三菱UFJ会社から緊急のご連絡」
この件名で今までに2度ほどブログエントリー書かせていただいていますが、本文内容が
違ったので、続編として改めてエントリーさせていただきます。
ご覧の通りこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”三菱UFJニコス Net Branch” <mufg.jp@ulnnnkv.cn>」
「Net Branch」は、三菱UFJニコスカード会員専用のウェブサービスの事。
三菱UFJニコスさんには”mufg.jp”という立派なドメインをお持ちなのに”ulnnnkv.cn”なんて
わざわざ中国のトップレベルドメインを使ったものでユーザーにメール配信するでしょうか?
絶対にしませんよね!


常習犯の仕業か?!

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<mufg.jp@ulnnnkv.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20220317030139005736@ulnnnkv.cn>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from ulnnnkv.cn (an9on2.shop [117.50.179.134])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、差出人のメールアドレスの真偽を確かめてみます。
メールアドレスに使われているドメインは”ulnnnkv.cn”でしたのでこのドメインの情報を
取得してみます。

持ち主のお名前は、これらの調査でよく見かける方で、私には読めない字を含む漢字3文字の
氏名の方。
ドメイン管理は中国のアリババに委託されていますね。
そしてこのドメインを割当てているIPアドレスは”117.50.179.134
このIPアドレスは”Received”に書かれているものと同じなのでアドレス偽装の疑いは
ありませんでした。
ただ1点気になるのが、”Received”に書かれているドメイン”an9on2.shop
もしやと思いこのドメインも調べてみると。

やっぱり同じIPアドレスに割当てていますね。
この方、少なくとも2つ以上のドメインを使い分けているようです。
そう言えば、この数字と”.shop”を使ったドメインパターンって何度か見た記憶があります。

ではこのIPアドレスを元にその割り当て地を確認してみます。

最近よく見掛ける、天安門広場の東側辺りの地図が表示されました。
それと、このIPアドレスは危険度は知られているようで、脅威レベルは「高」とされ
そのカテゴリは「メールによるサイバーアタック」とされています。
まさにフィッシング詐欺メールです。


リダイレクトで点々とサイトのURLを変えている?!

続いて本文です。

三菱UFJ銀行利用いただき、ありがとうございます。
アカウントに不適切なログインが検出されたため、アカウントの制限を許可し、
24時間以内にアカウントのセキュリティを確認して、プロパティの安全性を
確保してください。最近、詐欺事件が多発しているため、お客様の口座のセキュリティを
確保するため、銀行のセキュリティシステムをアップグレードしました。
お早めに個人情報の更新を完了してください。ご不便をおかけしますが、ご了承ください。

まあ、翻訳機を使っているようであまり上手な日本語じゃありませんね。
このメール本文もご多分に漏れず、セキュリティーシステムのアップグレードで個人情報を
リンク先へ行って更新するように求めてきています。
そのリンク先は直書きされたURLのようですが、これちょっと違うんですね。
だってURLのドメイン部分に”?”が入っちゃっていますもん。
”ipnzoo6.cn?ufj”
”?”の入ったドメインなんて見たことないでしょ?
意図的なのか、文字化けでもしたのか知りませんが、実際にリンクされているURLがこちら。

長ったらしいURLですねぇ…(;^_^A
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認。

やはり危険なサイトとして登録されています。
そのカテゴリはもちろん詐欺サイト。

このURLで使われているドメインは”ipnzoo6.cn
このドメインもその情報を取得してみました。

持ち主は、メールアドレスのドメイン”ulnnnkv.cn”と同じ方でした。

割当てているIPアドレスは”23.94.73.208”とあるので、このIPアドレスを元にその割り当て地を
確認してみます。

出てきたのはアメリカシアトル付近の地図。
リンクのサイトへ安全な方法で接続してみると、表示されたのは三菱UFJニコスカードの
偽サイト。

よく見ると先程のURLと異なっています。
どうやらリダイレクトされたようですね。

新しいURLはこちら。

足が付いても捕まらないようにリダイレクトで点々とサイトのURLを変えているようですね。

それが証拠に、トレンドマイクロの「サイトセーフティーセンター」ではこのように
未評価とされています。

なかなか手ごわいですね…(^-^;

面倒ですが、ここで使われているドメイン”kpkkjar.cn”についても調べてみたところ
持ち主はやっぱり同じ人物で、割当てているIPアドレスも同じでした。


まとめ

ちょっと長編になってしまいました…(;^_^A
最後までお読みくださりありがとうございました。
三菱UFJに限らずカード会社に成りすましたメールは本当に多いのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました