「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールが詐欺か検証する
公開日: 最終更新日:
「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールが詐欺か検証します。
異常な支払いがあったためアカウントを一時的にロックしている、ロックは会員サイトにアクセスして自身で解除して欲しいという内容です。
文面は以下の通りです。
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃
┃◆ NICOSカード WEBサービスログイン” ◆
┃
┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
******************************************************************
本メールはドメインの運用(メール送受信やホームページの表示)に関わる
重要な通知となります。
******************************************************************
最近、アカウントに異常な支払いがあったため、アカウントを一時的にロックする必要があります。
ご不便をおかけしますが、このカードを使用している場合はご自分で制限を解除してください。
ご不明な点がある場合は、カードまでお電話くださいフォローアップまでご協力ありがとうございます
■ 変更をご 方法
━━━━━━━
三菱UFJニコスWEBサイト
https//www.cr.mufg.jp/select/index.html
━━━━━━━
■ 注意事項
━━━━━━━
※変更後、48時間以内に発効する必要があり、期間中は使用できません。
※カードの個人情報によっては電話で連絡する場合もございます。。
※正確な情報は必ず記入してください。
──────────────────────────────────────
発行元:三菱UFJニコス株式会社
〒113-8411 東京都文京区本郷3丁目33番5号
本メールの無断転載はご遠慮ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright(C) 2020 Mitsubishi UFJ NICOS Co.,Ltd. All Rights Reserved.
2020/4/18 9:29:14
まずメールヘッダーから送信元を調べてみます。
1 2 |
From: "NICOSカード" <email_info02@nicos.jp> Return-Path: <q01@navycobra1.sakura.ne.jp> |
送信者名はNICOSカード、送信元メールアドレスはemail_info02@nicos.jpと表示されていますが、Return-Pathを確認してみるとq01@navycobra1.sakura.ne.jpとなっており、さくらインターネットのメールアドレスになっています。
かといって、ならばさくらインターネットのサーバーを使ったのか、と簡単にはいきません。
実際に送信元のサーバーのIPアドレスを調べると、
1 |
Received: from iff ([122.242.42.33]) |
122.242.42.33というIPアドレスが出てきます。
このIPアドレスの割り当て国を調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 |
inetnum: 122.242.0.0 - 122.242.255.255 netname: CHINANET-ZJ-JH country: CN → (中国) descr: CHINANET-ZJ Jinhua node network descr: Zhejiang Telecom admin-c: CZ4-AP tech-c: CJ54-AP status: ALLOCATED NON-PORTABLE mnt-by: MAINT-CHINANET-ZJ mnt-lower: MAINT-CN-CHINANET-ZJ-JH last-modified: 2008-09-04T07:20:43Z source: APNIC role: CHINANET-ZJ Jinhua address: No.155 Xishi street,Jinhua,Zhejiang.321000 country: CN → (中国) phone: +86-579-2300779 fax-no: +86-579-2330035 e-mail: anti_spam@mail.jhptt.zj.cn remarks: send spam reports to anti_spam@mail.jhptt.zj.cn remarks: and abuse reports to anti_spam@mail.jhptt.zj.cn remarks: Please include detailed information and times in UTC admin-c: CH55-AP tech-c: CH55-AP nic-hdl: CJ54-AP mnt-by: MAINT-CHINANET-ZJ last-modified: 2011-12-06T00:11:26Z source: APNIC role: CHINANET ZHEJIANG address: No. 257 Qingjiang Road, Hangzhou, Zhejiang.310066 country: CN → (中国) phone: +86-571-86821752 fax-no: +86-571-86988329 e-mail: antispam@zjnoc.hz.zj.cn remarks: send spam reports to antispam@zjnoc.hz.zj.cn remarks: and abuse reports to antispam@zjnoc.hz.zj.cn remarks: Please include detailed information and times in UTC admin-c: CZ61-AP tech-c: CZ61-AP nic-hdl: CZ4-AP mnt-by: MAINT-CHINANET-ZJ last-modified: 2019-03-27T01:09:38Z source: APNIC |
中国のIPアドレスだということが分かりました。
次にメール本文からリンクの誘導先を調べてみます。
1 2 |
三菱UFJニコスWEBサイト https//www.cr.mufg.jp/select/index.html |
https//www.cr.mufg.jp/select/index.html
このURL自体は実在するものです。
メール本文ではこのようにmufg.jp、つまり三菱UFJニコスのカードブランド選択画面のURLがリンクで表示されています。
しかし、これだけで判断するのは危険です。
実際にメール本文のソースコードを確認してみると、
1 |
<A href="https://www.dhpibisougar.buzz/"> |
となっており、
https//www.cr.mufg.jp/select/index.html
というのは単なるアンカーテキストで実際のリンク先はdhpibisougar[.]buzzとなっています。
さて、これは三菱UFJニコスカード公式サイトにある、フィッシング詐欺の見分け方を悪用したものであると考えられます。
MUFGカードをかたるフィッシング(詐欺)メールにご注意ください!|クレジットカードなら三菱UFJニコス
上記ページには、下記画像のような表記があります。
https//www.cr.mufg.jp/ と酷似したhttps://www2.cr.mufg.jp/、ドメインは同一のURLが正規のURLとして表示されています。
このドメインのWhois情報を調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
Domain Name: dhpibisougar.buzz Registry Domain ID: D7CE314E955274794B09F9EFB8AF16929-NSR Registrar WHOIS Server: whois.namesilo.com Registrar URL: www.namesilo.com Updated Date: 2020-04-17T17:15:28Z Creation Date: 2020-04-17T17:05:52Z Registry Expiry Date: 2021-04-17T17:05:52Z Registrar: NameSilo, LLC Registrar IANA ID: 1479 Registrar Abuse Contact Email: abuse@namesilo.com Registrar Abuse Contact Phone: +1.4805240066 Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registry Registrant ID: Registrant Name: Registrant Organization: See PrivacyGuardian.org Registrant Street: Registrant Street: Registrant Street: Registrant City: Registrant State/Province: AZ Registrant Postal Code: Registrant Country: US Registrant Phone: Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. |
どうやら登録者はアメリカのようです。
またこのドメインからこのサイトのIPアドレスを探します。
192.109.97.209というIPアドレスですが、
1 2 3 4 5 6 7 8 9 10 11 12 13 |
inetnum: 192.109.97.0 - 192.109.97.255 netname: RU-FLYNET-20191205 country: RU → (ロシア連邦) org: ORG-FL244-RIPE admin-c: FL8352-RIPE tech-c: FL8352-RIPE status: ASSIGNED PA mnt-by: IP-RIPE mnt-routes: FLYNET-MNT mnt-domains: FLYNET-MNT created: 2019-12-05T20:22:04Z last-modified: 2020-02-19T08:30:07Z source: RIPE |
このwebサイトはロシアのサーバーに設置されているようです。
安全を担保して、このURLにアクセスしてみます。
すると、
NEWS+PLUSという、三菱UFJニコスのカード会員向けサイト(偽のフィッシング詐欺サイト)が現れます。
またこのサイトは特定のIPドメインやリファラーを弾く仕組みになっているようで、そうしたIPやリファラーからのアクセスでは404ページが表示されるようになっています。
「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールはフィッシング詐欺メールです
「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールは、フィッシング詐欺です。
NICOSカードという送信者名で、email_info02@nicos.jpというメールアドレスに見えますが、実際は中国のサーバーから送信されています。
またhttps//www.cr.mufg.jp/select/index.html というニコスカードのドメインにリンクしているように見えますが実際はdhpibisougar[.]buzzという全く関係のないドメインにリンクされています。
ここにはNEWS+PLUSという三菱UFJニコスのカード会員向けサイトの、偽のフィッシング詐欺サイトが存在しています。
決して個人情報やログイン情報を入力しないようにしてください。
「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールをクリックして個人情報やカード情報を入力してしまった場合
この場合はUFJニコスカード公式サイトにあるように、できるだけ早急にクレジットカード裏面の電話番号に連絡するようにしてください。
またこのメールには別の文面のパターンが存在します。
関連記事
カテゴリ:フィッシング
タグ:MUFGカード,NEWS+PLUS,NICOSカード,スパムメール,フィッシング詐欺