『詐欺メール』「【TS CUBIC CARD】ご利用のお客様」と、来た件

「TS CUBIC CARD」の成りすまし

このところ「えきねっと」や「モバイルsuica」などJR関連のフィッシング詐欺メールが
続いていましたが、ここで一息。
今回は、トヨタ自動車系クレジットカード会社の「TS CUBIC CARD」に成りすました
フィッシング詐欺メールをご紹介しようと思います。
そのメールがこちら。

セキュリティーシステムをアップグレードしているので個人情報をリンクサイトから確認しろ
とかなりこじつけの内容です。
では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【TS CUBIC CARD】ご利用のお客様」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"TS CUBIC" <noreply-admin@m2d2.net>」
信用が第一の信販会社が自社の”tscubic.com”ってドメインを持っているのも関わらず
わざわざそれ以外のドメインを使ったメールアドレスでユーザー宛にメールを送るなんて
考えられません。

ドメインの持ち主情報はマスク

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず、メールアドレスに使われていたドメイン”m2d2.net”の情報を取得してみます。

何か後ろめたいことがあるのでしょうか、情報のほとんどがプライバシー保護でマスクされて
いますね。
分かるのは登録者は中国河北省の方と言うことくらい。
このドメインを割当てているIPアドレスは”107.150.106.99”。
”Received”のIPアドレスと同じですから、差出人のメールアドレスに偽装はありません。

”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのは、ロサンゼルスにあるヒルトンロサンゼルスエアポート付近です。
この辺りのメールサーバーが利用されたようです。

サイトは既に危険と周知されています

では本文。
と言っても、セキュリティシステムのアップグレードでリンクから個人情報を更新しろって
のは詐欺師の常套手段で今までにも何度か紹介しているもの。
それより気になるのは「確認」と書かれた黄色いボタンに付けられたリンク先。
そのリンク先のURLはこちら。

まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認。

安全性の評価は既に危険とされていました。
そのカテゴリは「フィッシング」とされているので、やはりこのサイトは悪意を持って構築
されたフィッシング詐欺サイトです。

このURLで使われているドメインは”zpstcw.cn”
このドメインについても情報を取得してみます。

持ち主は、私には読めない文字を含む漢字2文字の氏名で、ちょくちょく見かける方です。

このドメインを割当てているIPアドレスは”204.44.93.234”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのはフィッシング詐欺サイト運営サーバー密集地のロサンゼルス近郊の
リトルトーキョーにほど近い場所です。

行くなと言われると行きたくなるのが人情と言うもの。
この場所で運営されている詐欺サイトへ安全な方法で行ってみました。

縦長に配置されているので、TS CUBICのスマホに特化したサイトをコピーして
作られたものです。
間違ってもログインなんてしてはいけません！

まとめ

このところのうちのサイトの統計情報を見ていると、au関係のエントリーにアクセスが
集中しているようです。
やはりたくさんの方にauのフィッシング詐欺メールが届いていることが窺えます。
今後auだけにとどまらずdocomoやソフトバンクにも波及する可能性も考えられますので
au以外のキャリアの方も十分に注意してください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;