
「Your card has been suspended !」というsuspended@smbc.co.jpからのメールがフィッシング詐欺か分析する
公開日:
見出し
「Your card has been suspended !」というsuspended@smbc.co.jpからのメールがフィッシング詐欺か分析します。
クレジットカード情報に問題があったので一時停止している、再度利用できるようにするにはいくつかの情報を確認して欲しいとしてログインを促します。
このメールはHTMLメールではなく、画像のみで構成されています。

このメールの送信元を調べてみます。
1 2 |
From: "smbc.co.jp" <suspended@smbc.co.jp> Return-Path: <suspended@smbc.co.jp> |
メールの送信者名はsmbc.co.jp、送信元メールアドレスとReturn-Pathは、suspended@smbc.co.jpとなっています。
送信元サーバーも確認します。
1 |
Received: from adam (unknown [185.14.255.117]) |
185.14.255.117というIPアドレスから送信されているようです。
このIPアドレスを調べると、
1 2 3 4 5 6 7 8 9 10 11 |
inetnum: 185.14.255.0 - 185.14.255.255 netname: SNACKHOSTINC-NETIV descr: Snackhost Inc. country: CZ → (チェコ共和国) admin-c: VS2641-RIPE tech-c: VS2641-RIPE status: ASSIGNED PA mnt-by: MNT-VSHOSTING created: 2013-03-11T13:16:40Z last-modified: 2013-03-11T13:16:40Z source: RIPE # Filtered |
チェコに割り当てられているIPアドレスのようです。
さて、次にリンクの誘導先を調べてみます。
このメールはエンコードされていません。
1 |
<a href=3D"https://wahahar.com/smbc.co.jp/smbc.jp/jp/jp/smbc.co.jp/"> |
https://wahahar[.]com/smbc.co.jp/smbc.jp/jp/jp/smbc.co.jp/ というアドレスが出てきます。
https://wahahar[.]com の下位ディレクトリに配置されているようです。
ネームサーバーを見ると、米国でホスティングされている可能性があります。
さて、この安全を担保したうえでこのページにアクセスしてみます。

すると、偽の三井住友カードの会員向けサービス、Vpassのログイン画面が現れます。
このページをよく見るとページ下部のバナーの日付に2019年12月26日までのものがあるなど古く、以前に作成したフィッシング詐欺サイトを使いまわしていると考えられます。

このフィッシング詐欺サイトですが、幸いファイルを特定することができました。
内部を確認すると、このページはIPアドレスを判定し、特定のIPアドレスについては404エラーを返す仕組みになっています。
また入力した内容は、「omex1231231@gmail.com」というメールアドレスおよび、テレグラムと呼ばれるチャットシステムに送信されていることが分かりました。
フィッシング詐欺サイトツールには楽天やANAなど複数の画像が
当社が確認したこのフィッシング詐欺サイトのツール内には、今回の三井住友カードのサイトのログイン画面背景画像のほか、nexiというイタリアの銀行、ANAや楽天、セゾンカードなどの画像が含まれており、こうしたサイトのフィッシングも可能なツールとなっていると考えられます。
nexiのフィッシング詐欺画像

ANAのフィッシング詐欺サイト用画像
昨今頻発している、ANAを騙って20000円の払い戻しをうたうフィッシング詐欺に使われている画像と同一のものだと判明しています。
Congratulation you have reward of 20,000JP from ANA, All Nippon Airwaysというメールが詐欺か分析する

楽天のフィッシング詐欺サイト用画像

「Your card has been suspended !」というsuspended@smbc.co.jpからのメールはフィッシング詐欺です
「Your card has been suspended !」というsuspended@smbc.co.jpからのメールはフィッシング詐欺です。
このメールはチェコのサーバーのIPアドレスから送信されており、三井住友(SMBC)カードのVpassを偽装した、偽のログインページ誘導します。
入力された内容は日時などとともに「omex1231231@gmail.com」というメールアドレスやテレグラムと呼ばれるチャットサービスに送信されます。
また楽天やセゾンカードを騙った詐欺、またANAを騙る20000円還元の詐欺と同一のフィッシング詐欺サイト作成ツールを用いています。
決してこのページでパスワードや個人情報、クレジットカード情報などを入力しないようにしてください。
関連記事
カテゴリ:フィッシング
タグ:ANA,Vpass,スパムメール,フィッシング詐欺,三井住友カード,楽天