詐欺・迷惑メールを分析して、安全なネット利用につなげます。
今回はJAネットバンク関連。
タイトル:【ご注意】J Aネットバンク お取引を保留した
発信元:JAネットバンク no-reply@●●.com
収集時期:2024年9月
内容:
いつもJAネットバンクをご利用いただきありがとうございます。
詐欺等の被書防止のため、お客様のお取引を保留させていただいています。本人確認のお手続きが必要ですので、お手数をおかけしますが、下記の本人確認ボタンを押し、お手続きを進めてください。
ご不便をおかけしますが、お客様の大切な野金をお守りするための対策ですので、何卒、ご理解いただきますようお願いいたします。
本人確認
ご不明な点がございましたら、下記までご連絡ください。
連絡先 0120-058-098
これからもJAバンクをよろしくお願いします。
ソースの分析結果:危険なメールの可能性
このメールのソースを見ていくと、たくさんの不審な要素があり、フィッシング詐欺やマルウェア攻撃の可能性が非常に高いです。
1. 差出人アドレスやReturn-Pathの不一致
差出人アドレスとして「no-reply@●●.com」が使用されていますが、これはJAネットバンクの公式ドメインとは全く無関係のドメインです。
また、Return-Pathも同様のアドレスが使われています。
通常は、銀行のメールは公式ドメインから送信されるので、この点だけでも危険性が高いメールと言えます。
2. 送信元IPアドレスは中国?
メールの送信元IPアドレスは、中国のサーバーに関連している可能性が高く、日本の銀行から送られるメールのIPとしては不自然なものでした。
金融機関からの正規のメールなら、普通は、その機関が管理する国内のサーバーから送信されます。
3. 認証結果(DKIM、SPF、DMARC)の巧妙な偽装
DKIM、SPF、DMARCの認証は「pass」となっています。
けれど、これが「●●.com」というドメインに対して適用されています。
認証そのものは技術的に正しいですが、このドメインがJAネットバンクとは無関係であるため、メールの信頼性そのものには問題があります。
4. 不自然なリンク
メール内には「●●.com」というリンクが含まれていますが、これはJAネットバンクとは無関係なドメインです。
不審なリンクなのでクリックしませんが、クリックすると、フィッシングサイトや不正なウェブサイトに誘導され、個人情報を盗まれるリスクがあります。
5. 複雑なメール構成(HTMLコード)
メールには非常に長く複雑なHTMLコードが含まれており、内容が暗号化されているかのように見えます。
こうした手法は、不正なスクリプトやマルウェアを隠すために使われることが多く、HTML形式でマルウェアが埋め込まれている可能性があります。
正規の銀行のメールだと、普通はシンプルな形式で送信され、複雑なHTMLは使いません。
6. メッセージIDや特殊なヘッダーフィールドの不自然さ
メッセージID「●●.no-reply@●●.com」は、不規則な長い文字列で構成されており、通常の銀行メールとは異なります。
さらに、「X-Z-SRV」や「X-Gmail-Fetch-Info」といった、一般的な銀行のメールには含まれない特殊なフィールドも見られます。
ひとこと:
恐怖をあおったり不安にさせたりして誘導させるパターンですね。
タイトルの「お取引を保留した」というのも、日本語として不自然です。
それに、発信元のアドレスが怪しいので、見破りやすいとは思います。
文中の「野金」って、「預金」の誤字?
「連絡先 0120-058-098」については、調べてみたら正規の電話番号でした。
タイトル:[JAネットバンク]利用停止のお知らせ
「お取引を保留した」というメールのバリエーションを収集しました。
発信元:JAネットバンク no-reply@●●.com
収集時期:2024年9月
内容:
いつもJAネットバンクをご利用いただきありがとうございます。
この度JAネットバンクのご利用を停止させていただきましたのでご連絡いたします。※ 「JAネットバンク」の利用再開のお手続きを依頼している場合は、下記の利用再開ボタンを押し、お手続きを完了してください。
本メールへの返信による問合せは受付できません。
ご不明な点がございましたら、下記までご連絡ください。
連絡先 0120-058-098
これからもJAバンクをよろしくお願いします。
ひとこと:
こちらも少し日本語が不自然ですね。
「利用再開のお手続きを依頼している場合は、」なんて。