『詐欺メール』JR東日本から「「モバイルSuica」ご利用確認」と、来た件

「モバイルSuica」成りすまし第三弾が登場！！

狙われていますね、JR東日本。
「えきねっと」に始まり「モバイルsuica」もう毎日当たり前のように届きます。
今朝も、このようにセキュリティーシステムの更新に伴って個人情報の更新を促す
このようなメールが届いております。

それでは、このメールもプロパティーから見ていきます。

件名は
「[spam] 「モバイルSuica」ご利用確認」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「モバイルSuica <info@mobilesuica.com>」
確かに”mobilesuica.com”は、JR東日本の持ち物で「モバイルSuica」のサイトでも使われて
いますが、件名の”[spam]”が示す通りこのメールは悪意のあるフィッシング詐欺メールです
からこんなのを信じてはいけません！
そんな偽装工作を次の項で暴いていきましょう。

差出人は古くからのご常連さん

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンが置かれているのは東京都千代田区内神田付近。
この付近に設置されたメールサーバーを使いフィッシング詐欺メールを配信しているようです。
それに、このIPアドレスの脅威レベルは「高」と評価され、その詳細は「メールによる攻撃」
と書かれています。

詐欺サイトはロスに

そして本文。

この手口は、クレジットカード会社に成りすました際にもよく使われるもの。
いつも書いていますが、最初にユーザー登録した際に記入した個人情報は最大限の
セキュリティーで管理されている大切な情報で、データーベースとして厳重に管理
されているはず。
なのでいくらセキュリティシステムを更新したからと言って再入力させるのは不自然。
必要ならデーターベースから持ち出して利用するはずです。

このメールはフィッシング詐欺メールですから、詐欺サイトへのリンクが必ず設けられて
います。
そのURLは、このように本文に直書きされています。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみたところこのように表示されました。

既に危険なフィッシングサイトとして登録済みです。

このURLで使われているドメインは、サブドメインを含め”www.mobiliesuisa.com.wxjnccy.com”
このドメインを割当てているIPアドレスを抽出してみます。

これによるとそのIPは”204.44.99.48”
このIPアドレスの割り当て地を調べてみると。

表示されたのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーにほど近い場所。
そしてこのIPアドレスも脅威レベルが高いとされており、その詳細は「Webによるサイバー
アタック」と書かれています。

危険を承知で安全な方法を使いサイトに行ってみると、「モバイルsuica」のログイン画面を
模したページが表示されました。
おそらく「モバイルsuica」のサイトを丸ごとダウンロードし複製したものでしょうね。

危険ですから絶対にログインしないでください！

まとめ

詐欺師たちは、あらゆる手段を使ってログインアカウント情報や個人情報とクレジットカード
の情報を盗み取ろうとしてきます。
このようなメールのリンクは絶対に押さないようにしてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;