『詐欺メール』「＜緊急通知＞SAISON CARDご利用のお客様」と、来た件

”makassarku.net”ってダレ？

また、今回もクレジットカード会社を騙るフィッシング詐欺メールのご紹介です。
今回はセゾンカードに成りすまし「セキュリティシステムの大幅なアップグレード」に伴い
個人情報の確認するようにと書かれたメールです。

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] ＜緊急通知＞SAISON CARDご利用のお客様」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"Netアンサー" <noreply-admin@makassarku.net>」
Netアンサーはセゾンカードのクレジットカード会員をサポートインターネットサービス。
ん？でも”makassarku.net”ってダレ？
セゾンカードさんのドメインは”saisoncard.co.jp”のはず。
信用第一位の信販会社が、わざわざ中国のトップレベルドメインを使ったメールでこのような
大切なメールをユーザーに送るでしょうか？(笑)

メールアドレスの偽装は無し

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず、ドメイン”makassarku.net”の情報を取得しでみます。

情報のほとんどがマスクされて取得できませんでした。(-_-;)
何とか分かったのは、申請者の住所は「中国河北省」。
このドメインを割当てているIPアドレスは”173.82.212.79”
”Received”にあるものと同じなので、差出人のメールアドレスの偽装はありませんでした。

では、この”173.82.212.79”ってIPアドレスを使ってその情報を拾ってみます。

表示された地図は、ロサンゼルス近郊のチャイナタウンにほど近い場所。
差出人はこの付近に設置されたメールサーバーからこのメールを配信したようです。

詐欺サイトのメッカはどこ？！

そして本文がこちら。

「セキュリティシステムの大幅なアップグレード」には要注意！
このフレーズは詐欺メールの特徴です！！

この本文の後ろにある「確認」と書かれた黄色いボタンに詐欺サイトへのリンクが付けられて
います。
そのリンク先のURLはこちら。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」の評価を確認。

既に「危険」の評価が下されておりそのカテゴリは「フィッシング」とされていました。

使われているドメインは、サブドメインを含め”www.zxhunvr.cn”
このドメインについても調べてみました。

登録者の氏名は、漢字2文字で私には読めない文字が含まれたもの。
そしてメールアドレスはGmailが使われていました。

このドメインを割当てているIPアドレスは”204.44.93.234”
このIPアドレスを元にその割り当て地を確認してみます。

表示されたのは、ロサンゼルス近郊のリトルトーキョーにほど近い場所です。
そう、ここは詐欺サイトのメッカで最近のほとんどの詐欺サイトがこの地で運営されています。

安全な方法でリンク先の詐欺サイトへ接続してみると、このようなサイトが開きました。

これ、セゾンカード詐欺メールのあるあるなんですが、最初に開いたページがログインページ
ではなく、初っ端からクレジットカードの情報を入力するフォームが表示されること。
ちょっと考えればわかると思うんだけど、ログインさせずになんてあり得ませんよね！(笑)

まとめ

三菱UFJニコスカードに三井住友カードなど、信販企業を騙った詐欺メールは、こうやって
ブログを書いている最中も次から次へと届き、それ以外にも、「えきねっと」や「au」
「Amazon」と言ったところを騙ったものもあるので、私のメールボックスは毎日あふれ
かえっています…
何とかならんでしょうか？(-_-;)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;