「MyJCB Express News 重要な通知となります」という、JCBカード(MyJCB Express News)を騙るメールを分析する
「[重要]saison cardカードが第三者に利用される恐れがあります」というメールを分析する
【PayPay】アカウントの異なる端末からのアクセスのお知らせ。というメールの分析
公開日: 最終更新日:
【PayPay】アカウントの異なる端末からのアクセスのお知らせ、というメールを分析します。
結論から言うと、このメールはPayPayとは一切関係ない中国の組織ないし個人によるフィッシング詐欺メールです。
よって、個人情報の入力やアカウント情報の入力はしないようにしてください。
文面は以下の通りです。
【PayPay】アカウントの異なる端末からのアクセスのお知らせ
example@example.com様
お客様の【PayPay】アカウントは異なる端末からのアクセスを確認いたしました。
アカウントは一時利用停止されました、
【PayPay】アカウントの資金安全を確保するためにご本人でセキュリティ強化、再開手続きの設定してださい。
——————————————————
■下記のURLをクリックしてログインを設定してださい(設定してから【PayPay】アカウントの制限は解除します)
https://paypay.ne.jp
——————————————————
■本メールは、【PayPay】アカウントにEメールアドレスをご登録いただいているお客さまにご案内しております。
(2020年03月15日現在)
■本メールは、セキュリティ強化のため、電子署名をつけてお送りしています。(PCメールのみ)
電子署名についてくわしくはこちら↓
https://paypay.ne.jp/c/Ccl0k3tchzky7qHf56d1c45Iid0k40l7wtjsx
——————————————————
■本メールの送信アドレスは送信専用となっております。
返信メールでのお問い合わせは承りかねますので、あらかじめご了承願います。
——————————————————
PayPayお問い合わせ窓口(ユーザー窓口)
PayPay携帯電話紛失?盗難専用窓口
電話番号:0120-990-633
営業時間:24時間受付
/
土日祝祭日を含む365日
——————————————————
■PayPay株式会社
■https://paypay.ne.jp
早速詳細を見てみます。
メール送信元のFrom、Return-Pathを確認します。
|
1 2 |
From: PayPay <a4.smcbzq20.cnadmin@a4.smcbzq20[.]cn> Return-Path: <a4.smcbzq20.cnadmin@a4.smcbzq20[.]cn> |
paypayのhttps://paypay.ne.jp/とは異なる、a4.smcbzq20[.]cnという中国ドメインが用いられています。
PayPayを騙るメールは珍しいので、Authentication-Resultsも確認してみます。
これは送信元の情報を知るうえで、重要な情報です。
|
1 |
smtp.mailfrom=a4.smcbzq20.cnadmin@a4.smcbzq20[.]cn |
FromやReturn-Pathと同様でした。
このドメインのwhois情報を見てみます。
|
1 2 3 4 5 6 7 8 9 10 11 12 |
Domain Name: smcbzq20[.]cn ROID: 20191108s10001s18768822-cn Domain Status: ok Registrant ID: cn21196353621935 Registrant: 陈龙 Registrant Contact Email: 526225175@qq.com Sponsoring Registrar: 成都西维数码科技有限公司 Name Server: jm1.dns.com Name Server: jm2.dns.com Registration Time: 2019-11-08 15:14:07 Expiration Time: 2020-11-08 15:14:07 DNSSEC: unsigned |
成都西维数码科技有限公司という企業は、成都にある中国のプロバイダです(https://www.west.cn/)。
どこに誘導するのかを調査する
メールの元のソースは、base64になっていますので、デコードしてリンクを調査します。
|
1 |
ont-size: 10.5pt; font-family: 微软雅黑; color: rgb(0, 0, 0); |
フォントはいつもの中華フォントが用いられています。
|
1 |
<A href="http://paypopay[.]com"><FONT style="BACKGROUND-COLOR: white">https://paypay.ne.jp</FONT></A> |
アンカーテキスト(表面上見えるリンク先)はhttps://paypay.ne.jpとPayPayのものになっていますが、実際のリンク先はhttp://paypopay[.]comと、微妙に文字列が異なっています。
whois情報を確認してみます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
Domain Name: paypopay[.]com Registry Domain ID: whois protect Registrar WHOIS Server: whois.west.cn Registrar URL: www.west.cn Updated Date: 2020-03-04T09:10:25.0Z Creation Date: 2020-03-04T09:10:25.0Z Registrar Registration Expiration Date: 2021-03-04T09:10:25.0Z Registrar: Chengdu west dimension digital technology Co., LTD Registrar IANA ID: 1556 Reseller: Domain Status: clienthold http://www.icann.org/epp#clienthold Registry Registrant ID: Not Available From Registry Registrant Name: REDACTED FOR PRIVACY Registrant Organization: REDACTED FOR PRIVACY Registrant Street: REDACTED FOR PRIVACY Registrant City: Chengdu Registrant State/Province: Sichuan Registrant Postal Code: REDACTED FOR PRIVACY Registrant Country: CN Registrant Phone: REDACTED FOR PRIVACY Registrant Phone Ext: Registrant Fax: REDACTED FOR PRIVACY Registrant Fax Ext: Registrant Email: link at https://www.west.cn/web/whoisform?domain=paypopay.com |
プライバシー設定で隠されていますが、登録者は中国のようです。
なお、このサイトは現在閲覧不能となっています。
今後このサイトが復活する可能性もありますが、明らかにフィッシング詐欺でありPayPayとは関係ないものですから、個人情報やアカウント情報などを入力することがないようにしてください。
関連記事
カテゴリ:フィッシング
タグ:PayPay,スパムメール,フィッシング詐欺
関連記事
人気記事
