『詐欺メール』「「モバイルSuica」お支払い情報更新」と、来た件

今度は「モバイルSuica」か…

「えきねっと」騒動が冷めぬ前に、今度は「モバイルSuica」を標的にしたフィッシング詐欺
メールがお出ましになりました！

JR東海エリアの私にこのようなメール送られてもねぇ…

でも、モバイルSuicaをお持ちの方々にお知らせしておかないといけないので早速プロパティー
から見ていきます。

件名は
「[spam] 「モバイルSuica」お支払い情報更新」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「モバイルSuica <info@mobilesuica.com>」
確かに”mobilesuica.com”はJR東日本名義で取得されているドメインです。

でも、それを鵜呑みにしてはいけませんよ！
その辺を次の項で暴いていきましょう。

差出人は「INTERQ」さんのユーザー？！

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

ってことで、この差出人の”info@mobilesuica.com”は嘘でした。

本当の差出人のメールアドレスのドメインは”azorg.cn”でもなく”Received”書かれている
”static.cnode.io”と断定できます。
そしてこの差出人は”static.cnode.io”って事なので古くからのご常連さん。

ドメインとIPアドレスの関連性を調べてみましたが、このドメインは”Received”に書かれて
いるIPアドレスに割り当てられられていることが分かりました。

では、このIPアドレス”118.27.121.185”を使ってそれにまつわる情報を拾ってみます。

まず、この差出人は「INTERQ」さんのユーザー。
そしてこのIPアドレスは、既に危険なものとして周知されています。
そのカテゴリは「メールによるサイバーアタック」
表示されている地図は「東京都千代田区内神田」付近なので、差出人の利用したメールサーバー
は、この辺りにあるようです。

今現在、詐欺サイトは無防備！

そして本文。

素っ気ない文章ですね。
Suicaの利用を一時停止たとは書かれていますが、その理由はどこにも書かれていませんよね。
それを突き止めようと皆さんリンクを押してしまうんですよね。
そのリンクは、メールに直書きされたこちらのURL。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認して
みましたが、「未評価」とされており、まだ周知されていないので注意が必要です！

このURLで使われているドメインは、サブドメインを含め”mobiliesuisa.com.zainenergy.com”
このドメインの情報も調べてみます。

このドメインの持ち主は、カナダのバンクーバーにある企業です。

このドメインを割当てているIPアドレスは”204.44.76.234”とあるので
このIPアドレスを元にその割り当て地を確認してみます。

表示されたのは、アメリカロサンゼルス付近の地図。
そしてこのIPアドレスも脅威レベルは「高」とされていて、そのカテゴリはウェブによる
サイバーアタックと書かれています。

このサイトに安全な方法で接続してみました。

ウイルスバスターに遮断されることも無く、全く無防備に接続されました。
絶対にログインしないで下さい！

まとめ

「えきねっと」の次は「モバイルSuica」ですか。
敵も色々考えてきますね。
次はどのような手を使ってくるのか見ものです。
とにかくこういったメールが届いても安易にリンクを開かず、本家サイトをネットで検索して
ログインするように心掛けてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;