サイトアイコン HEARTLAND

『詐欺メール』「【TS CUBIC CARD】ご利用のお客様」と、来た件

「セキュリティシステムの大幅なアップグレード」に注意!
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

「TS CUBIC CARD」の成りすまし

このところ「えきねっと」や「モバイルsuica」などJR関連のフィッシング詐欺メールが
続いていましたが、ここで一息。
今回は、トヨタ自動車系クレジットカード会社の「TS CUBIC CARD」に成りすました
フィッシング詐欺メールをご紹介しようと思います。
そのメールがこちら。

セキュリティーシステムをアップグレードしているので個人情報をリンクサイトから確認しろ
とかなりこじつけの内容です。
では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] 【TS CUBIC CARD】ご利用のお客様」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”TS CUBIC” <noreply-admin@m2d2.net>」
信用が第一の信販会社が自社の”tscubic.com”ってドメインを持っているのも関わらず
わざわざそれ以外のドメインを使ったメールアドレスでユーザー宛にメールを送るなんて
考えられません。


ドメインの持ち主情報はマスク

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<noreply-admin@m2d2.net>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<28BBFEACF6A641E28D7F6C2F02C96A4B@udyamcru>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from smtp.m2d2.net (unknown [107.150.106.99])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まず、メールアドレスに使われていたドメイン”m2d2.net”の情報を取得してみます。

何か後ろめたいことがあるのでしょうか、情報のほとんどがプライバシー保護でマスクされて
いますね。
分かるのは登録者は中国河北省の方と言うことくらい。
このドメインを割当てているIPアドレスは”107.150.106.99”。
Received”のIPアドレスと同じですから、差出人のメールアドレスに偽装はありません。

Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのは、ロサンゼルスにあるヒルトンロサンゼルスエアポート付近です。
この辺りのメールサーバーが利用されたようです。


サイトは既に危険と周知されています

では本文。
と言っても、セキュリティシステムのアップグレードでリンクから個人情報を更新しろって
のは詐欺師の常套手段で今までにも何度か紹介しているもの。
それより気になるのは「確認」と書かれた黄色いボタンに付けられたリンク先。
そのリンク先のURLはこちら。

まずはこのサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認。

安全性の評価は既に危険とされていました。
そのカテゴリは「フィッシング」とされているので、やはりこのサイトは悪意を持って構築
されたフィッシング詐欺サイトです。

このURLで使われているドメインは”zpstcw.cn
このドメインについても情報を取得してみます。

持ち主は、私には読めない文字を含む漢字2文字の氏名で、ちょくちょく見かける方です。

このドメインを割当てているIPアドレスは”204.44.93.234
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのはフィッシング詐欺サイト運営サーバー密集地のロサンゼルス近郊の
リトルトーキョーにほど近い場所です。

行くなと言われると行きたくなるのが人情と言うもの。
この場所で運営されている詐欺サイトへ安全な方法で行ってみました。

縦長に配置されているので、TS CUBICのスマホに特化したサイトをコピーして
作られたものです。
間違ってもログインなんてしてはいけません!


まとめ

このところのうちのサイトの統計情報を見ていると、au関係のエントリーにアクセスが
集中しているようです。
やはりたくさんの方にauのフィッシング詐欺メールが届いていることが窺えます。
今後auだけにとどまらずdocomoやソフトバンクにも波及する可能性も考えられますので
au以外のキャリアの方も十分に注意してください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了