『詐欺メール』「【ファミマTカード】お客様への重要なお知らせです」と、来た件

heart

3年前

リンクを開かないで！！

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

”familymart.com”はファミマではないぞ！

先日「ファミマTカード」に成りすましたフィッシング詐欺メールをご紹介する
このようなブログをエントリーしました。

『詐欺メール』「【Famima T card】ご利用確認のお愿いいつも弊社のカードをご利用いただきありがとうございます。」と、来た件

天安門広場とロサンゼルスが溜まり場 ※ご注意ください！当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。このようなメールを受け取っても絶対に本文中のリンクをクリック...

今朝、新たに「ファミマTカード」を騙るこのようなメールが到着しましたので、再びご紹介
しようと思います。

内容は、いつもお馴染みの第三者による不正利用を疑ったものです。

件名は
「[spam] 【ファミマTカード】お客様への重要なお知らせです。」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「FamilyMart Card <info@familymart.com>」
このメールアドレスに使われているドメインは”familymart.com”です。
これがファミマの正規ドメインかなと思い調べると”family.co.jp”が正解。
でも、大きな企業ですからもしかして”.com”もお持ちなのかなと思って、調べてみると
このドメインを取得しているのはファミマではなく中国北京市の方でした。

本文読むまでも無くもうこの時点でOUTです。(笑)
2019年3月に取得されていますが、よくこんなドメイン取得できたものですよね。

「TS CUBIC CARD」も掛け持ちで？！

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<root@ts3card.shop>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
よく見ると”ts3card”なんてドメインですよね。
この方「TS CUBIC CARD」のフィッシング詐欺メールも手掛けているようですね！

Message-ID:「<20220324162054.E8B6FD5A4FE@mail.ts3card.shop>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail.ts3card.shop (unknown [103.13.220.153])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレス”103.13.220.153”は、差出人が利用した
メールサーバーのIPアドレスです。
このIPアドレスを使ってそのサーバーの情報を拾ってみます。

表示されたのは、隣国の首都付近。
利用されたプロバイダーは「90Qh」です。

詐欺サイトは香港にあり！

では本文。

ファミマTカードをご利用のお客様へ

いつも弊社カードをご利用いただき、誠にありがとうございます。

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がございますので、
誠に勝手ながら、カードのご利用を一時制限させていただき、ご連絡させていただきました。

つきましては、下記よりご本人様のカードのご利用状況についてのご確認をお願いいたします。

カードのご利用確認のお知らせについてはこちら

ご確認をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。

クレジットカード会社に成りすました詐欺メールのよくありがちな内容ですね。
「カードのご利用確認のお知らせについてはこちら」と書かれている所に利用状況が
確認できるページがあるようです。
そのリンク先のURLはこちら。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみると。
既に危険なサイトとして登録済みで、カテゴリは「フィッシング」とされています。

このURLで使われているドメインは、サブドメインを含め”wis.pocketcardi.club”
このドメインも情報を取得してみました。

申請者は「アメリカミシガン州サウスフィールド」の方。

このドメインを割当てているIPアドレスは”103.229.183.12”
このIPアドレスを元にその割り当て地を確認してみます。

今度は香港の地図が表示されました。
リンク先の詐欺サイトはどうやら香港に置かれているようです。

そのリンク先に安全は方法で接続してみました。
するとファミマTカードのログイン画面のコピーページが表示されました。

偽のサイトなので絶対にログインしないでください。

まとめ

第三者不正利用を騙るものは、フィッシング詐欺メールの中でも断トツに多いものです。
とにかく、こういったメールにあるリンクは絶対に押さない事です。
受け取っただけでは被害に遭うことはありませんので肝に銘じてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)