こんにちわ
FlexGear の阿部 茂です
突然ですが、皆さんは毎日どのくらいの量のメールを受信していますか?
私は1日150件くらいのメールを受け取っています。
仕事に関するメールのやり取り以外にも、物販サイトからの売れましたよメールや
情報収集の為に登録したニュースサイトから来るメール
過去に商品を購入したお店からの新商品情報や、泊まったホテルからのダイレクトメールなど
さまざまなメールが毎日受け取っています。
まぁ、私の場合はほとんど一瞥する程度で、
2秒も見ていないメールが多い気がしますね
日本ビジネスメール協会という団体が実施した調査では
一日のビジネスメール送信回数は『12.62通』 受信回数は『39.28通』
送信通数が最も多いのは「課長クラス」、受信通数が最も多いのは「部長クラス」です。
だそうです。
これはビジネスメールだけの話ですので、実際にはSNSからの通知なども含めば
たいていの方が毎日大量の文章を受取り、送信している事になります。
今回はそんなメールの中に潜んでいた
悪意あるフィッシング詐欺サイトへ誘導するメールについて、注意喚起も含めて紹介いたします。
フィッシング詐欺メールは突然に
私は普段現場に出ている事が多いので、
仕事関連のメールはGmailアドレスに紐づけてスマホから確認するようにしています。
改めてスマホ便利ですよね
まずは、届いたメールのスクリーンショット画像をご覧ください。
一見、クレジットカード会社のクレディセゾンからのメールのようですが、
【第三者によるアクセスを確認いたしました】と記載されています。
最初はメールボックスに表示される件名だけ見ていましたので、
たまーに来るパスワードは定期的に変更してくれよ通知とか、
規約の変更とかかなぁーと思っていました。
・・・が、この時点で感じた一つの違和感
違和感20パーセント 宛先アドレスが・・・
宛先アドレス欄に shigeru-y とあります。
『しげる・・わい??』
私の名前は阿部 茂(あべ しげる)ですので、 shigeru-a ならわかります。
エイリアス間違えてるのかな?と思い、実際の宛先アドレスを確認すると
shigeru-y@po.mct.ne.jpとなっていました。
どうやら、BCCで一斉にそれっぽい人(しげると付くアドレスをお持ちの人)に送信している系のよう・・
一気に不信感が増してきました。
件名にこれ見よがしに重要と書かれていて、妙に煽ってくるで、
ちゃんと見てやろうと本文をよく読んでみました。
ちなみに、送信元欄は 《セゾン》Netアンサー となっていますが
実際のアドレスを確認すると、et〇u〇〇.〇〇k〇.4416@mild.ocn.ne.jpとなっていました。
既に被害に合われていて不正に取得されたアドレスの可能性もある為、アドレスは伏字にしております
違和感50パーセント 勝手に替わっちゃったID
本文をよく読んでみると、第三者によるアクセスを確認した為に
暫定的にIDを変更しました・・とあります。
もちろん事前の告知なくの事後承諾です。
そもそもIDとパスワードでログインするだけのサイトで
第三者をどうやって確認するのか謎ですが、
勝手にIDを変えちゃうってどーなの?と強烈に違和感UP
せめて事前に電話連絡があるとか、
(この辺りは電話番号も紐づいた個人情報が流出している可能性もあるので
悪意ある犯罪者が電話連絡してくるパターンもあるかもですので、ご注意ください)
IDを一時的に凍結しますならまだ理解できますが、
流石に勝手にIDを変更するのは、無しですよね?
このメールについては、面白そうなので、
自宅に帰ってからもう少し突っ込んで確認してみようと一旦仕事に戻りました。
違和感99パーセント! コレは決定的!?
仕事も順調に終わって自宅に帰り、ご飯も食べ終わったので
楽しみにしていた疑惑のメールについて、更に突っ込んでいきます!
一番気になるのは、なんといっても
本文中に2回出てくるリンクアドレス
cardの文字の後にハイフンが2つ入っているのが違和感を優しく刺激してくれます
愛用のブラウザ google chromeをシークレットモードに変更し
リンクをクリックしてみると・・
流石google 既に悪意あるサイトとして認識しているようです
これではこの先のサイトにアクセス出来ませんので、
一旦ブロックを解除して
実際のサイトにアクセスしてみます
悪意あるソフトを密かにダウンロードさせる動きも可能です
私のように危険なサイトや怪しいリンクにはアクセスしないようにしてください
これがセゾンNetアンサーフィッシングサイトの全ページだ!
chromeのサイトブロックを軽やかにパスし、
疑惑のサイトの表示に成功!
メールからの導入はともかく、サイト自体はよく作られていて違和感はあまり感じません。
よくある登録フォームが並び、最下部にはスクロールバー付きの
テキストボックス内にNetアンサーの規約が長々と書かれています
よく見ると、フッターのCopyrightが2008になっていたりもしますが、
一般の方が見れば、このまま登録してしまいそうな作りです。
ちなみにサイトのアドレスはこんな感じです
URLの後半にあるパラメータ変数のr以降の数字が個人情報集めまくってますよ感を醸し出しています
誰がこんな事やってるの?ソースを確認してみた
やっぱり気になりますよね?
先ほどのサイトのソースを確認してみました
予想通りといいますか、
中国人が絡んでいる感がソースにも表れています
入力項目をチェックしているっぽいコードのコメント部分に
顔色変化と書いてあったり(エラーなら赤色に変更して、再度入力を促す感じかな?)
『セキュリティコード欄を表示されない』って日本語もおかしいですね
中国人が絡んでいそうな事はわかりましたが、
もう一歩進みたいところ
更に進んでみましたヨ
Who is 検索でドメイン管理者を割り出す!
今回のフィッシングサイトのアドレスは
http://www.saison-card–jp.club から始まるドメインが利用されています。
ドメインは取得時に所有者の登録が義務付けられており、
Who is 検索で簡単に管理者を割り出す事が可能です。
早速このドメインにもwho is 検索を実行してみました。
検索にはこちらのサイトを利用させて頂きました
検索すると、数秒でドメインを管理している管理者の情報が表示されました。
admin欄にサイト管理者のメールアドレスや電話番号 住所も記載されています
場所は浙江省の杭州のようですね
Postal Codeも加えてgoogle mapに入力すると
ついに管理者がいる地図が表示されました!
残念ながらストリートビューは対応していなかったので、あくまで航空写真からの印象ですが
6車線程の幹線道路が走り高層マンションが立ち並んでいる
かなり発展した大きな町に見えます。
東に5km程進んだ場所でストリートビューが可能なポイントがあったので、
開いてみてビックリ
超オシャレな街並みだ(;’∀’)
こんな綺麗な場所で日夜クレジットカード情報をせっせと集めているんですかね?
早く捕まってくれーーー!!
who is は絶対ではない who is 情報も登録時に嘘の情報を入力する事も可能です。ですので登録されているからといって
この方が犯罪を行っているとは限らない むしろ被害者の可能性もあるのです。
手をかえ品を変え
実はこの手のフィッシング詐欺サイトは、以前はUFJ銀行で行われていたようです。
ネットで『第三者によるアクセスを』で検索してみると山のように出てきますね
最近のこういった犯罪はクレジットカード情報を
利用した直接的な犯行(カードを勝手に使う)よりも、
個人情報を収集して他の悪意あるサイトの管理者として利用したり、
amazonなどの一般的な販売サイトの販売者として登録される
(知らない内に販売者になっており、入金がないのに商品発送義務が発生しているケース)
などして一般の方が犯罪に巻き込まれていくケースが増えているように思えます。
こういったメールが届いた際は、安易にクリックせずに
必ず一旦冷静になって、
おかしいなと思ったらオフィシャルサイトなどを確認するように心がけてくださいね
LEAVE A REPLY