”makassarku.net”ってダレ?また、今回もクレジットカード会社を騙るフィッシング詐欺メールのご紹介です。 今回はセゾンカードに成りすまし「セキュリティシステムの大幅なアップグレード」に伴い 個人情報の確認するようにと書かれたメールです。  では、このメールもプロパティーから見ていきましょう。 件名は 「[spam] <緊急通知>SAISON CARDご利用のお客様」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Netアンサー” <noreply-admin@makassarku.net>」 Netアンサーはセゾンカードのクレジットカード会員をサポートインターネットサービス。 ん?でも”makassarku.net”ってダレ? セゾンカードさんのドメインは”saisoncard.co.jp”のはず。 信用第一位の信販会社が、わざわざ中国のトップレベルドメインを使ったメールでこのような 大切なメールをユーザーに送るでしょうか?(笑)
メールアドレスの偽装は無しでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<noreply-admin@makassarku.net>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<CC6245BF482956A1298CD5265117DCE2@phq>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from smtp.makassarku.net (unknown [173.82.212.79])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
まず、ドメイン”makassarku.net”の情報を取得しでみます。  情報のほとんどがマスクされて取得できませんでした。(-_-;) 何とか分かったのは、申請者の住所は「中国河北省」。 このドメインを割当てているIPアドレスは”173.82.212.79” ”Received”にあるものと同じなので、差出人のメールアドレスの偽装はありませんでした。 では、この”173.82.212.79”ってIPアドレスを使ってその情報を拾ってみます。  表示された地図は、ロサンゼルス近郊のチャイナタウンにほど近い場所。 差出人はこの付近に設置されたメールサーバーからこのメールを配信したようです。
詐欺サイトのメッカはどこ?!そして本文がこちら。 SAISON CARDご利用のお客様 SAISON CARDご利用いただきありがとうございます。 この度、当社はセキュリティシステムの大幅なアップグレードを実施しているため、 ご登録された個人情報を再確認する必要がございます。 つきましては、以下へアクセスの上、ご登録された個人情報の確認にご協力をお願い致します。 |
「セキュリティシステムの大幅なアップグレード」には要注意! このフレーズは詐欺メールの特徴です!! この本文の後ろにある「確認」と書かれた黄色いボタンに詐欺サイトへのリンクが付けられて います。 そのリンク先のURLはこちら。  このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」の評価を確認。  既に「危険」の評価が下されておりそのカテゴリは「フィッシング」とされていました。 使われているドメインは、サブドメインを含め”www.zxhunvr.cn” このドメインについても調べてみました。  登録者の氏名は、漢字2文字で私には読めない文字が含まれたもの。 そしてメールアドレスはGmailが使われていました。 このドメインを割当てているIPアドレスは”204.44.93.234” このIPアドレスを元にその割り当て地を確認してみます。  表示されたのは、ロサンゼルス近郊のリトルトーキョーにほど近い場所です。 そう、ここは詐欺サイトのメッカで最近のほとんどの詐欺サイトがこの地で運営されています。 安全な方法でリンク先の詐欺サイトへ接続してみると、このようなサイトが開きました。  これ、セゾンカード詐欺メールのあるあるなんですが、最初に開いたページがログインページ ではなく、初っ端からクレジットカードの情報を入力するフォームが表示されること。 ちょっと考えればわかると思うんだけど、ログインさせずになんてあり得ませんよね!(笑)
まとめ三菱UFJニコスカードに三井住友カードなど、信販企業を騙った詐欺メールは、こうやって ブログを書いている最中も次から次へと届き、それ以外にも、「えきねっと」や「au」 「Amazon」と言ったところを騙ったものもあるので、私のメールボックスは毎日あふれ かえっています… 何とかならんでしょうか?(-_-;) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |