「モバイルSuica」成りすまし第三弾が登場!!狙われていますね、JR東日本。 「えきねっと」に始まり「モバイルsuica」もう毎日当たり前のように届きます。 今朝も、このようにセキュリティーシステムの更新に伴って個人情報の更新を促す このようなメールが届いております。 それでは、このメールもプロパティーから見ていきます。 件名は 「[spam] 「モバイルSuica」ご利用確認」 この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「モバイルSuica <info@mobilesuica.com>」 確かに”mobilesuica.com”は、JR東日本の持ち物で「モバイルSuica」のサイトでも使われて いますが、件名の”[spam]”が示す通りこのメールは悪意のあるフィッシング詐欺メールです からこんなのを信じてはいけません! そんな偽装工作を次の項で暴いていきましょう。
差出人は古くからのご常連さんでは、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<bvswjn@xla.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 それなのにここには”bvswjn@xla.cn”なんて中国のドメインを使った メールアドレスが記載されています。 もうバレバレっす!(笑) | Message-ID:「<E578025814BE41960D1069C079575E51@xla.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from xla.cn (v118-27-77-96.wj1b.static.cnode.io [118.27.77.96])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 ここには”static.cnode.io”なんてドメインも見えています。 実はこの”static.cnode.io”を使っているのは昔からよく登場する常習犯。 |
”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。 このIPアドレスを元にその割り当て地を確認してみます。 ピンが置かれているのは東京都千代田区内神田付近。 この付近に設置されたメールサーバーを使いフィッシング詐欺メールを配信しているようです。 それに、このIPアドレスの脅威レベルは「高」と評価され、その詳細は「メールによる攻撃」 と書かれています。
詐欺サイトはロスにそして本文。 Suicaをご利用のお客さま 利用いただき、ありがとうございます。この度、当社はセキュリティシステムの大幅な更新をしたため、ご登録された個人情報を 再確認する必要がございます。 つきましては、以下へアクセスの上、ご登録された個人情報の確認にご協力をお願い 致します。Suicaの利用を一時停止しました。 |
この手口は、クレジットカード会社に成りすました際にもよく使われるもの。 いつも書いていますが、最初にユーザー登録した際に記入した個人情報は最大限の セキュリティーで管理されている大切な情報で、データーベースとして厳重に管理 されているはず。 なのでいくらセキュリティシステムを更新したからと言って再入力させるのは不自然。 必要ならデーターベースから持ち出して利用するはずです。 このメールはフィッシング詐欺メールですから、詐欺サイトへのリンクが必ず設けられて います。 そのURLは、このように本文に直書きされています。 このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認 してみたところこのように表示されました。 既に危険なフィッシングサイトとして登録済みです。 このURLで使われているドメインは、サブドメインを含め”www.mobiliesuisa.com.wxjnccy.com” このドメインを割当てているIPアドレスを抽出してみます。 これによるとそのIPは”204.44.99.48” このIPアドレスの割り当て地を調べてみると。 表示されたのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーにほど近い場所。 そしてこのIPアドレスも脅威レベルが高いとされており、その詳細は「Webによるサイバー アタック」と書かれています。
危険を承知で安全な方法を使いサイトに行ってみると、「モバイルsuica」のログイン画面を 模したページが表示されました。 おそらく「モバイルsuica」のサイトを丸ごとダウンロードし複製したものでしょうね。 危険ですから絶対にログインしないでください!
まとめ詐欺師たちは、あらゆる手段を使ってログインアカウント情報や個人情報とクレジットカード の情報を盗み取ろうとしてきます。 このようなメールのリンクは絶対に押さないようにしてください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |