「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールが詐欺か検証する


公開日: 最終更新日:

「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールが詐欺か検証します。

異常な支払いがあったためアカウントを一時的にロックしている、ロックは会員サイトにアクセスして自身で解除して欲しいという内容です。

文面は以下の通りです。

┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┃◆ NICOSカード WEBサービスログイン” ◆

┃      

┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

******************************************************************

 本メールはドメインの運用(メール送受信やホームページの表示)に関わる

 重要な通知となります。

******************************************************************

最近、アカウントに異常な支払いがあったため、アカウントを一時的にロックする必要があります。

ご不便をおかけしますが、このカードを使用している場合はご自分で制限を解除してください。

ご不明な点がある場合は、カードまでお電話くださいフォローアップまでご協力ありがとうございます

■ 変更をご 方法

━━━━━━━

                  三菱UFJニコスWEBサイト

                   https//www.cr.mufg.jp/select/index.html

━━━━━━━

■ 注意事項

━━━━━━━

※変更後、48時間以内に発効する必要があり、期間中は使用できません。

※カードの個人情報によっては電話で連絡する場合もございます。。

※正確な情報は必ず記入してください。

──────────────────────────────────────

発行元:三菱UFJニコス株式会社 

〒113-8411 東京都文京区本郷3丁目33番5号

本メールの無断転載はご遠慮ください。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Copyright(C) 2020 Mitsubishi UFJ NICOS Co.,Ltd. All Rights Reserved.

 2020/4/18 9:29:14

まずメールヘッダーから送信元を調べてみます。

 送信者名はNICOSカード、送信元メールアドレスはemail_info02@nicos.jpと表示されていますが、Return-Pathを確認してみるとq01@navycobra1.sakura.ne.jpとなっており、さくらインターネットのメールアドレスになっています。

かといって、ならばさくらインターネットのサーバーを使ったのか、と簡単にはいきません。

実際に送信元のサーバーのIPアドレスを調べると、

 122.242.42.33というIPアドレスが出てきます。

このIPアドレスの割り当て国を調べてみると、

 中国のIPアドレスだということが分かりました。

次にメール本文からリンクの誘導先を調べてみます。

https//www.cr.mufg.jp/select/index.html

このURL自体は実在するものです。

 メール本文ではこのようにmufg.jp、つまり三菱UFJニコスのカードブランド選択画面のURLがリンクで表示されています。

しかし、これだけで判断するのは危険です。

実際にメール本文のソースコードを確認してみると、

 となっており、

https//www.cr.mufg.jp/select/index.html

というのは単なるアンカーテキストで実際のリンク先はdhpibisougar[.]buzzとなっています。

さて、これは三菱UFJニコスカード公式サイトにある、フィッシング詐欺の見分け方を悪用したものであると考えられます。

MUFGカードをかたるフィッシング(詐欺)メールにご注意ください!|クレジットカードなら三菱UFJニコス

上記ページには、下記画像のような表記があります。

https//www.cr.mufg.jp/ と酷似したhttps://www2.cr.mufg.jp/、ドメインは同一のURLが正規のURLとして表示されています。

このドメインのWhois情報を調べてみると、

 どうやら登録者はアメリカのようです。

またこのドメインからこのサイトのIPアドレスを探します。

192.109.97.209というIPアドレスですが、

 このwebサイトはロシアのサーバーに設置されているようです。

安全を担保して、このURLにアクセスしてみます。

すると、

NEWS+PLUSという、三菱UFJニコスのカード会員向けサイト(偽のフィッシング詐欺サイト)が現れます。

またこのサイトは特定のIPドメインやリファラーを弾く仕組みになっているようで、そうしたIPやリファラーからのアクセスでは404ページが表示されるようになっています。

「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールはフィッシング詐欺メールです

「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールは、フィッシング詐欺です。

NICOSカードという送信者名で、email_info02@nicos.jpというメールアドレスに見えますが、実際は中国のサーバーから送信されています。

またhttps//www.cr.mufg.jp/select/index.html というニコスカードのドメインにリンクしているように見えますが実際はdhpibisougar[.]buzzという全く関係のないドメインにリンクされています。

ここにはNEWS+PLUSという三菱UFJニコスのカード会員向けサイトの、偽のフィッシング詐欺サイトが存在しています。

決して個人情報やログイン情報を入力しないようにしてください。

「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールをクリックして個人情報やカード情報を入力してしまった場合

この場合はUFJニコスカード公式サイトにあるように、できるだけ早急にクレジットカード裏面の電話番号に連絡するようにしてください。

またこのメールには別の文面のパターンが存在します。

次ページで別パターンについても検証しています。

ページ: 1 2

関連記事



カテゴリ:
タグ:,,,,



関連記事