『詐欺メール』続「[ 三井住友カード]のセキュリティ通知」と、来た件

三井住友カードのドメインは”smbc-card.com”

三井住友カードセキュリティーセンターに成りすまし、ユーザーがいとしないパスワードの
再登録の申請があったように見せかけた手口のフィッシング詐欺メールもが到着。

このメールもプロパティーから見ていきましょう。

件名は
「[ 三井住友カード]のセキュリティ通知」
明らかに詐欺メール何にこの件名には”[spam]”とスパムスタンプが付ついていません。(;^_^A
ちょいちょいやらかすんですが、うちのサーバーセキュリティーの怠慢ですね！

差出人は
「三井住友カード <cepmvizrl@marucafe.shop>」
三井住友カードさんは”smbc-card.com”って立派なドメインをお持ちです。
それなのにわざわざよその”marucafe.shop”なんてドメインのメールアドレス使うはずが
ありません！
それ以前にこの”marucafe.shop”も実際に差出人のものかどうかわかりませんがね。

さくらインターネットの石狩DCが出所か！？

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず、メールアドレスに使われているドメイン”marucafe.shop”の真偽について調べます。

このドメインを割当てているIPアドレスは”54.249.246.233”って事なので”Received”にある
物とは全く異なります。
この結果からこの差出人のメールアドレスは偽装されていることが発覚しました！

では、この”Received”にあったIPアドレス”153.125.145.50”を使ってそのサーバーの情報を
拾ってみます。

表示されたのは、北海道に石狩市付近の地図。
そして左側のプロバイダー名には「SAKURA Internet Inc.」とあり、「さくらインターネット」
のユーザーであることが分かります。
そう、賢明な方ならお分かりだと思いますが、「さくらインターネット」さんには石狩に
データーセンターがありますよね。
今回は、そこのメールサーバーが使われたようですね。

意としない通知で焦らせる手口

続いて本文です。

Vpassは、三井住友カード会員のためのインターネットサービス。
この本文は、そのIDとパスワードの再登録申請が行われたという通知ですね。

意としない通知なので、このメールを詐欺メールだと知らない方は、慌ててリンクを
押してしまいますよね。
そのリンクは「下記URLにアクセスし、必要な情報を入力して、手続きを行ってください。」
と書かれている次の行に直書きされています。
そのサイトのURLがこちらです。

まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみると、既に危険なサイトとして認識されていました。
そのカテゴリは「フィッシング」とされています。

次にここで使われているドメイン”vpass.reic-rtc.jp”について。

あの…これ出しちゃっていいのでしょうか…
調べりゃすぐに判っちゃうんだけど、とある団体のドメインにサブドメインを足したものが
このサイトのドメインでした。(汗)
もしかしたら、この団体のサーバーが詐欺師に乗っ取られているかも知れません。

このドメインをドメインを割当てているIPアドレスは”115.144.69.8”って事なので、
このIPアドレスを元にその割り当て地を確認してみます。

そう、さくらインターネットユーザーと隣国の首都はセットでしたね。

リンク先のサイトへ安全な方法で接続してみました。

表示されたのは、三井住友カードのホームページ。
もちろん、偽サイトですよ！　間違ってもログインしたりしないでくださいね！！

まとめ

あの手この手と様々な手を使って騙そうとしてきますね。
どうしたってどこかに真偽を見分けるポイントが隠れています。
それを見逃せば奴らの術中にはまってしまうので、特にクレジットカード会社から
送られてくるメールには目を光らせておく必要があります。
では、お気を付けてお過ごしください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;