『詐欺メール』JR東日本から「「モバイルSuica」ご利用確認」と、来た件

heart

3年前

JR東日本もいい迷惑でしょうね

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

「モバイルSuica」成りすまし第三弾が登場！！

狙われていますね、JR東日本。
「えきねっと」に始まり「モバイルsuica」もう毎日当たり前のように届きます。
今朝も、このようにセキュリティーシステムの更新に伴って個人情報の更新を促す
このようなメールが届いております。

それでは、このメールもプロパティーから見ていきます。

件名は
「[spam] 「モバイルSuica」ご利用確認」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「モバイルSuica <info@mobilesuica.com>」
確かに”mobilesuica.com”は、JR東日本の持ち物で「モバイルSuica」のサイトでも使われて
いますが、件名の”[spam]”が示す通りこのメールは悪意のあるフィッシング詐欺メールです
からこんなのを信じてはいけません！
そんな偽装工作を次の項で暴いていきましょう。

差出人は古くからのご常連さん

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<bvswjn@xla.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
それなのにここには”bvswjn@xla.cn”なんて中国のドメインを使った
メールアドレスが記載されています。
もうバレバレっす！(笑)

Message-ID:「<E578025814BE41960D1069C079575E51@xla.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from xla.cn (v118-27-77-96.wj1b.static.cnode.io [118.27.77.96])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
ここには”static.cnode.io”なんてドメインも見えています。
実はこの”static.cnode.io”を使っているのは昔からよく登場する常習犯。

”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンが置かれているのは東京都千代田区内神田付近。
この付近に設置されたメールサーバーを使いフィッシング詐欺メールを配信しているようです。
それに、このIPアドレスの脅威レベルは「高」と評価され、その詳細は「メールによる攻撃」
と書かれています。

詐欺サイトはロスに

そして本文。

Suicaをご利用のお客さま
利用いただき、ありがとうございます。この度、当社はセキュリティシステムの大幅な更新をしたため、ご登録された個人情報を
再確認する必要がございます。
つきましては、以下へアクセスの上、ご登録された個人情報の確認にご協力をお願い
致します。

Suicaの利用を一時停止しました。

この手口は、クレジットカード会社に成りすました際にもよく使われるもの。
いつも書いていますが、最初にユーザー登録した際に記入した個人情報は最大限の
セキュリティーで管理されている大切な情報で、データーベースとして厳重に管理
されているはず。
なのでいくらセキュリティシステムを更新したからと言って再入力させるのは不自然。
必要ならデーターベースから持ち出して利用するはずです。

このメールはフィッシング詐欺メールですから、詐欺サイトへのリンクが必ず設けられて
います。
そのURLは、このように本文に直書きされています。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみたところこのように表示されました。

既に危険なフィッシングサイトとして登録済みです。

このURLで使われているドメインは、サブドメインを含め”www.mobiliesuisa.com.wxjnccy.com”
このドメインを割当てているIPアドレスを抽出してみます。

これによるとそのIPは”204.44.99.48”
このIPアドレスの割り当て地を調べてみると。

表示されたのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーにほど近い場所。
そしてこのIPアドレスも脅威レベルが高いとされており、その詳細は「Webによるサイバー
アタック」と書かれています。

危険を承知で安全な方法を使いサイトに行ってみると、「モバイルsuica」のログイン画面を
模したページが表示されました。
おそらく「モバイルsuica」のサイトを丸ごとダウンロードし複製したものでしょうね。

危険ですから絶対にログインしないでください！

まとめ

詐欺師たちは、あらゆる手段を使ってログインアカウント情報や個人情報とクレジットカード
の情報を盗み取ろうとしてきます。
このようなメールのリンクは絶対に押さないようにしてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)