”familymart.com”はファミマではないぞ!先日「ファミマTカード」に成りすましたフィッシング詐欺メールをご紹介する このようなブログをエントリーしました。 『詐欺メール』「【Famima T card】ご利用確認のお愿いいつも弊社のカードをご利用いただきありがとうございます。」と、来た件
今朝、新たに「ファミマTカード」を騙るこのようなメールが到着しましたので、再びご紹介 しようと思います。 内容は、いつもお馴染みの第三者による不正利用を疑ったものです。 件名は 「[spam] 【ファミマTカード】お客様への重要なお知らせです。」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「FamilyMart Card <info@familymart.com>」 このメールアドレスに使われているドメインは”familymart.com”です。 これがファミマの正規ドメインかなと思い調べると”family.co.jp”が正解。 でも、大きな企業ですからもしかして”.com”もお持ちなのかなと思って、調べてみると このドメインを取得しているのはファミマではなく中国北京市の方でした。 本文読むまでも無くもうこの時点でOUTです。(笑) 2019年3月に取得されていますが、よくこんなドメイン取得できたものですよね。
「TS CUBIC CARD」も掛け持ちで?!では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<root@ts3card.shop>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 よく見ると”ts3card”なんてドメインですよね。 この方「TS CUBIC CARD」のフィッシング詐欺メールも手掛けているようですね! | Message-ID:「<20220324162054.E8B6FD5A4FE@mail.ts3card.shop>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from mail.ts3card.shop (unknown [103.13.220.153])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Received”にあったIPアドレス”103.13.220.153”は、差出人が利用した メールサーバーのIPアドレスです。 このIPアドレスを使ってそのサーバーの情報を拾ってみます。 表示されたのは、隣国の首都付近。 利用されたプロバイダーは「90Qh」です。
詐欺サイトは香港にあり!では本文。 ファミマTカードをご利用のお客様へ いつも弊社カードをご利用いただき、誠にありがとうございます。 このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がございますので、 誠に勝手ながら、カードのご利用を一時制限させていただき、ご連絡させていただきました。 つきましては、下記よりご本人様のカードのご利用状況についてのご確認をお願いいたします。 カードのご利用確認のお知らせについてはこちら ご確認をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。 |
クレジットカード会社に成りすました詐欺メールのよくありがちな内容ですね。 「カードのご利用確認のお知らせについてはこちら」と書かれている所に利用状況が 確認できるページがあるようです。 そのリンク先のURLはこちら。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみると。 既に危険なサイトとして登録済みで、カテゴリは「フィッシング」とされています。 このURLで使われているドメインは、サブドメインを含め”wis.pocketcardi.club” このドメインも情報を取得してみました。 申請者は「アメリカミシガン州サウスフィールド」の方。 このドメインを割当てているIPアドレスは”103.229.183.12” このIPアドレスを元にその割り当て地を確認してみます。 今度は香港の地図が表示されました。 リンク先の詐欺サイトはどうやら香港に置かれているようです。 そのリンク先に安全は方法で接続してみました。 するとファミマTカードのログイン画面のコピーページが表示されました。 偽のサイトなので絶対にログインしないでください。
まとめ第三者不正利用を騙るものは、フィッシング詐欺メールの中でも断トツに多いものです。 とにかく、こういったメールにあるリンクは絶対に押さない事です。 受け取っただけでは被害に遭うことはありませんので肝に銘じてください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |