アカウント情報を更新するという、JCBカード(MyJCB Express News)を騙るメールを分析する


公開日:

「MyJCB Express News 本メールはドメインの運用(メール送受信やホームページの表示)に関わる重要な通知となります。」から始まる、「アカウント情報を更新する」というタイトルのメールについて分析します。

文面は以下の通りです。

変更をご WEBサービスよりお申込みください。など、怪しい文面となっています。

送信元のFrom、Return-Pathを確認してみます。

 ドメインはjcb.co.jpとなっています。

もっと詳しくReceived: でfrom情報を見てみると、v118-27-78-75.r061.static.cnode[.]ioという送信元のホスト名が出てきます。

IPアドレスは、118.27.78.75ですが、これは日本国内、GMOインターネットの持つIPアドレスです。

ではメールのソースから誘導先を調べてみます。

 となっており、先頭は確かにjcb.co.jpですが、実態は88few4gr6w4h56e4hj56te4jk564rt464k54565y7l4u56t64l685wrh4r[.]monsterのサブドメインです。

リンクを踏む前にマウスを置いてみると左下にURLが表示されるのでそれを確認、という方法がありますが、それを逆手に取ったこうした手法はよくあります。

フィッシング詐欺ですので、個人情報等の入力はしないようにしましょう。

もし不安であれば、MyJCBログインと検索したうえでログインすることをお勧めします。

さて、本文末尾にE191010242という数字があります。

過去の分析記事に、E202010242という、数字の頭3桁だけが今回と異なる類似事例があります。

「被災地の子どもたちの教育に寄付で支援|認定NPO法人カタリバ」というフィッシング詐欺メールを解析

「オーストラリアの火災で被害を受けた野生動物と自然環境のために」というWWF Japanを騙るフィッシング詐欺メールを解析

配信者側の何らかの管理番号である可能性があります。


カテゴリ:
タグ:,,,



関連記事