『詐欺メール』「【VIEW’s NET】会員様向けのお知らせ」と、来た件

大切な連絡がメール1本で

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. 相変わらずの第三者不正利用
2. ”viewcard.com”は別会社のもの！
3. 詐欺サイトが無防備な状態で野放しに？！
4. まとめ

相変わらずの第三者不正利用

今回は、JR東日本グループのクレジットカード「ビューカード」に成りすます
フィッシング詐欺メールのご紹介です。

内容は、例によって第三者不正利用を疑う本文が書かれています。
では、このメールもプロパティーから見ていきます。

件名は
「[spam] 【VIEW’s NET】会員様向けのお知らせ」
これだと会員向けのインフォメーションメールの感じです。
でもこの件名には”[spam]”とスタンプが付けられているので迷惑メールの類。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「View Card <info@viewcard.com>」
「ビューカード」さんには、れっきとした”jreast.co.jp”ってドメインをお持ちです。
それにこのような”viewcard.com”ドメインはビューカードさんの物ではありません。
そのあたりを含め、詳しく調査してみましょう。

”viewcard.com”は別会社のもの！

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<root@customercard.shop>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
この時点ですでに”customercard.shop”なんてドメイン見えちゃいましたね。
これでアドレス偽装確定です！

Message-ID:「<20220409074751.D725D99D65F@mail.customercard.shop>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail.customercard.shop (unknown [103.13.220.134])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、”viewcard.com”について情報を取得してみます。
このドメインを割当てているIPアドレスが”Received”に記載されているものと同じなら
差出人のメールアドレスだと認めますが、そうでない場合、特定電子メール法違反となり
処罰の対象とされます。
※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰するほか、法人に対して3000万円以下の罰金
さて、どう出るのでしょうか？

既にこの結果は見えていましたが、このドメインは、Germanium World LLCと言う企業の物で
ビューカードの物ではありません。

”Received”のIPアドレス”103.13.220.134”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのは、韓国のソウル。
差出人は、この付近に設置されたメールサーバーを利用したようですね。

詐欺サイトが無防備な状態で野放しに？！

では引き続き本文。

ビューカードをご利用のお客様へ

いつも弊社カードをご利用いただき、誠にありがとうございます。

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がございますので、
誠に勝手ながら、カードのご利用を一時制限させていただき、ご連絡させていただきました。

だいたい第三者不正利用のような大切な連絡をこのような簡単なメール1本で連絡するなんて
おかしいと思いませんか？
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「カードのご利用確認のお知らせについてはこちら」って書かれたところに
張られていて、リンク先のURLがこちらです。

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

ご覧のように「未評価」と書かれています。
フィッシング詐欺サイトが無防備に放置されているなんてとても危険です！
私の方で、評価内容変更のリクエストを申請しておきました。

このURLで使われているドメインは、サブドメインを含め”www.jreasti.top”
このドメインにまつわる情報を取得してみます。

持ち主は、マレーシアのクアラルンプールにある企業。

このドメインを割当てているIPアドレスは”103.13.222.162”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、メールアドレスの際と同じ韓国のソウル。

安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

やはりウイルスバスターにブロックされることなくあっさりと開いたのは、ビューカード会員
用ウェブサイト「VIEW’s NET」のコピーページ。
このようなサイトが無防備な状態で野放しにされているなんてとても危険です。
一刻も早く危険なサイトとして「サイトセーフティーセンター」に登録されることを願います。