『詐欺メール』「SAlSONカード【重要】」と、来た件

heart

3年前

セゾンカードが中国のドメインでメールを送るって？

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

「SAlSON」じゃなくて「SAiSON」

「SAlSONカード」から何とも直球な件名のメールが届きました。
ただ【重要】とだけ書かれています。

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] SAlSONカード【重要】」
あれ？ちょっと待って！
この文字をそのままGoogleの検索窓に貼り付けて検索するとこんな表示出ました。

「もしかして: SAiSONカード」って出てるからスペルが違ってる？
「SAlSON」って、”l”の部分が小文字の”エル”で「SALSON」になってるって事だ。
本文内の他の部分はちゃんと”アイ”になってて、件名と差出人のところだけがこうなっています。
果たしてこれが狙ったことなのか、それとも打ち間違えたものなのか…(;^_^A

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「SAlSON顧客サービス <saison-support2@evtqnwe.cn>」
「セゾンカード」さんには、れっきとした”saisoncard.co.jp”ってドメインをお持ちです。
それなのにこのような”evtqnwe.cn”なんて中国のトップレベルドメインを使った
メールアドレスで大切なユーザーにメールを送るなんて絶対にあり得ません！

偽装せず自身のアドレスで

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「saison-support2@evtqnwe.cn」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「202205101745485767015@evtqnwe.cn」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from evtqnwe.cn (unknown [202.61.176.156])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、”evtqnwe.cn”について情報を取得してみます。

”202.61.176.156”がこのドメインを割当てているIPアドレス。
”Received”に書かれているものも”202.61.176.156”と同一アドレスなので
この差出人は、偽装することなく自身が持つメールアドレスを利用してこのメールを
送信してきたようです。

”Received”のIPアドレスは、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

かなりアバウトな位置情報ですがピンが立てられたのは、「東京都千代田区」付近です。
利用しているプロバイダー名は、香港に拠点を持つ「CTG Server Ltd」
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

IPアドレスから割出した詐欺サイトの在りかは？

では引き続き本文。

SAISONカードからのお知らせ

SAISONカードをご利用のお客さま
利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、
誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下ヘアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、
予めご了承下さい。

便利ですよね、このメールの本文。
「SAISONカード」って所だけ書きかえればいくらだって使いまわせるんだから。
もう見飽きちゃって暗記しちゃいました(笑)

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「ご利用確認はこちら」って書かれたところに張られていて、リンク先の
URLがこちらです。

”yahoo”が入ってるけどなんだかわけのわからないURLですね。
でも、これ偽装されていて、リダイレクトって手法で全然別のサイトに飛ばされます。
その飛ばされた先のURLがこちら。

”@”より前が消えていますね。
このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、カテゴリは「詐欺サイト」と書かれています。

このURLで使われているドメインは、サブドメインを含め”fcasfhj.pxnlcgtz.cn”
このドメインにまつわる情報を取得してみます。

持ち主は、メールアドレスのドメインと同じ方。
それ以外大した情報は取得できませんでした。

このドメインを割当てているIPアドレスは”204.44.88.243”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、詐欺サイトのメッカであるロサンゼルス近郊のリトルトーキョーに程近い場所。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

開いたのは、セゾンカード会員専用のウェブサイトの「SAISON CARD Netアンサー」
の偽のログインページ。
ちゃんとパズルまで付いてるし…(;^_^A

本物の「SAISON CARD Netアンサー」を見てきましたが、全く見分けが付きません。
それもそのはず、ウェブサイトのコピーなんてのは、まるまるダウンロードして自身のサーバーに
アップすれば完成しちゃうので複製なんて簡単なのです！
でも、サイトの複製は立派な犯罪！皆さんは絶対にしないでくださいよ！！

まとめ

件名と、差出人の「SAISON」の”l”って部分のスペルが帰られているのは、どんな意味が有るのか。
それとも全く意味がなく、ただ単に間違いなのか。
私には知る由もありません。
相変わらずおかしなメールが多いので、お気を付けてお過ごしください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)