【Pokémon GO サービスのお申し込み受付のお知らせ】というメールの分析


公開日:

【Pokémon GO サービスのお申し込み受付のお知らせ】というメールの分析です。

「Pokémon GO 」 5000ゴールドコインが正常に購入されました:という書き出しで始まるこのメールは、コピペで検索されるのを避けるためフォントの工夫で正常なコピペができないようにされています。

実際に上記の文をコピペすると、

「Pokémon GO 」 5000ゴーAZ35106t>ルドgoole13419コイyahoo71523ンが正yahoo82976常にBen45641購入AJ66870されNOW88022ましNEW68424た:

となります。

そこで文字起こしのAIを使って上記の画像からテキストを起こしてみます。

領收書

Pokémon GO

Pokémon GO 5000金貨

「Pokémon GO」5000ゴールドコインが正常に購入されました:

App

コンテンツプロバイダ

購入日

初回オファー

登録料H2037金

お支払い方法

Pokémon GO

株式会社ポケモン

23.03.2020,09:38

5000金貨

¥7400

Credit Card

この取引を承認していない場合は、このリンクをクリックして全額返金

してください!

登録や購入に関するサポートが必要な場合は、Appleサポートにアクセスしてください。

Apple ID の概要・販売条件・プライバシーポリシー

Copyright © 2020 Apple Inc.

All rights reserved

この取引を承認していない場合は、このリンクをクリックして全額返金してください! の部分がリンクとなっています。

さて、送信元を調べてみます。

 interlink.or.jpというドメインは、日本のプロバイダのドメインです。

送信者名はApple store foryouとなっていますが、本当のApple storeとは異なります。

このメール本文はエンコードされていませんでしたので、直接誘導先のリンクを探してみます。

 上記ドメインは、実は正規のコロニック(腸内洗浄)の施術を行うクリニックのサイトです。

つまりこのwebサイトが何者かに不正アクセスを受け、改ざんなどの被害にあい、結果としてこうしたフィッシングサイトの誘導先として用いられています。

さて、誘導先のコロニックセンターのURLへ遷移すると、以下のURLへリダイレクトされます。

 このサイトはフィッシングサイトとして報告されています、というGoogleセーフブラウジングの警告が出ます。

興味深いのは、このドメインです。

誘導先は、platinumfamilyhealth[.]comのサブドメインです。

しかしながらこのURLには、先の場合と同様、正規のものとみられるフィットネスやウェルネスなどのキュレーションコンテンツサイトが存在しています。

よって、このwebサイト自体がやはり不正アクセスなどを受けた結果こうしたフィッシングサイトの「置き場」となっている可能性があります。

Webサイトの改ざん被害の復旧事案では、このように自社サイト内でフィッシングサイトが運営されていた、あるいは先のサイトのようにフィッシング詐欺サイトに転送されてしまっている、などのケースが多く存在します。

このケースもそうしたケースの一つと考えられますので、クリックして個人情報を入力してしまうことのないようにしてください。

なお、「Pokémon GO 」 5000ゴールドコインが正常に購入されましたというタイトルでも同様のメールが確認されています。

関連記事



カテゴリ:
タグ:



関連記事