「MyJCB Express News 重要な通知となります 4/23/2020」というメールがフィッシング詐欺か検証する
公開日:
「MyJCB Express News 重要な通知となります 4/23/2020」というメールがフィッシング詐欺か検証します。
アカウントで異常なアクティビティが検出されたためJCBアカウントを停止させていただいておりますといった内容で、アカウントの確認を促す内容です。
■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
□■ お知らせ サービス停止のお知らせ
お客様のアカウントで異常なアクティビティが検出されたためJCBアカウントを停止させていただいております。
アカウントにログインして画面の指示に従うことで、.アカウントのロックを解除していただけます。
お客様にはご不便をおかけいたしますが、何とぞご理解いただきますようお願い申しあげます
■ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴
あなたのクレジットカード口座が第三者によって使用されていることを検知したので、あなたの口座が資金の安全のために凍結されたのですが、すぐにWEBサービスIDとパスワードを再登録して、制限を解除しなければなりません
変更をご WEBサービスよりお申込みください。
■ 変更をご 方法
▼MyJCBログインはこちら
https://yiqishijue.com
==================================
株式会社ジェーシービー
東京都港区南青山5-1-22 青山ライズスクエア 〒107-8686
※本メールは送信専用です。
お問い合わせは上のURLの、専用フォームよりお願いします。
==================================
「MyJCB Express News」に掲載されているすべての記事、
文章等の無断転載を禁止します。
著作権はすべて、株式会社ジェーシービーに帰属します。
Copyright JCB Co., Ltd. 2019
==================================
E191010242
まずメールヘッダーから送信元を調べてみます。
1 2 |
From: JCB <ytkrvsq@jcb.co.jp> Return-Path: <ytkrvsq@jcb.co.jp> |
送信者名はJCB、送信元メールアドレスはytkrvsq@jcb.co.jpとなっています。
Return-Pathのメールアドレスも同様です。
次に送信元サーバーも確認します。
1 |
Received: from jcb.co.jp (unknown [106.75.109.30]) |
106.75.109.30というIPアドレスが出てきたので、これを調べてみます。
1 2 3 4 5 6 7 8 9 10 11 12 |
inetnum: 106.75.0.0 - 106.75.255.255 netname: UCLOUD-NET descr: Shanghai UCloud Information Technology Company Limited admin-c: JJ2197-AP tech-c: JJ2197-AP country: CN → (中国) mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN mnt-routes: MAINT-CNNIC-AP status: ALLOCATED PORTABLE last-modified: 2017-06-22T |
送信元のサーバーは中国にあるようです。
次にリンクの誘導先を調べてみます。
1 |
https://yiqishijue[.]com |
という誘導先です。
このドメインのwhois情報を調べてみます。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
Domain Name:yiqishijue.com Registry Domain ID:2258480702_DOMAIN_COM-VRSN Registrar WHOIS Server:whois.paycenter.com.cn Registrar URL:http://www.xinnet.com Updated Date:2020-04-22T20:29:56.00Z Creation Date:2018-04-30T02:50:22.00Z Registrar Registration Expiration Date:2020-04-30T02:50:22.00Z Registrar:XINNET TECHNOLOGY CORPORATION Registrar IANA ID:120 Registrar Abuse Contact Email:supervision@xinnet.com Registrar Abuse Contact Phone:+86.1087128064 Reseller:hefeixunyunwangluokejiyouxiangongsi Domain Status: Registry Registrant ID:REDACTED FOR PRIVACY Registrant Name:REDACTED FOR PRIVACY Registrant Organization:REDACTED FOR PRIVACY Registrant Street:REDACTED FOR PRIVACY Registrant City:REDACTED FOR PRIVACY Registrant State/Province:REDACTED FOR PRIVACY Registrant Postal Code:REDACTED FOR PRIVACY Registrant Country:REDACTED FOR PRIVACY Registrant Phone:REDACTED FOR PRIVACY Registrant Phone Ext:REDACTED FOR PRIVACY Registrant Fax:REDACTED FOR PRIVACY Registrant Fax Ext:REDACTED FOR PRIVACY Registrant Email:link at http://whois.xinnet.com/sendemail/yiqishijue.com |
ドメインレジストラはhttp://www.xinnet.com/という中国、北京のレジストラでした。
実際に安全を担保してhttps://yiqishijue[.]comへアクセスしてみます。
するとhttps://yiqishijue.com/index/login/index.htmlへリダイレクトされ、偽のMyJCBログインのページが現れます。
偽サイトですから、当然ユーザーデータベースを使った認証はできませんから、基本的に何を入れても「ログイン」ができます。
このページを通過すると、
【https://yiqishijue[.]com/index/index/index.html】
クレジットカード情報を窃取する画面です。
このページを超えると、個人情報とセキュリティコードを窃取する画面が現れます。
【https://yiqishijue[.]com/index/index/two.html】
この画面が終わると、JCBカードの本物のwebサイトのメンテナンス告知画面に移動します。
ThinkPHPを利用
さて、この偽サイトはThinkPHPという、中国で良く用いられるwebアプリケーションフレームワークが用いられています。
わざとエラーを出すと、
このようにThinkPHPのエラー画面が現れます。
Cloudflareを利用
このサイトは、Cloudflareを利用しています。
Aレコードは、104.24.106.177, 104.24.107.177, 2606:4700:3030::6818:6bb1, 2606:4700:3032::6818:6ab1 となっています。
2020.06.09 →【重要】お客様の【MyJCBカード】が第三者に利用される恐れがあります。というメールがフィッシング詐欺か検証する
2020.05.28 →「カードご利用内容の確認のお願い」というJCBカードからのメールがフィッシング詐欺か検証する
2020.05.27 →「【MyJCB】お支払い方法を更新してください(自動配信メール)」というメールがフィッシング詐欺か検証
2020.05.10 →「カードご利用内容の確認のお願い」というJCBカードのメールがフィッシング詐欺か検証する
2020.04.23 →「MyJCB Express News 重要な通知となります 4/23/2020」というメールがフィッシング詐欺か検証する
2020.04.16 →「あなたのクレジットカード口座が第三者によって使用されていることを検知したので」というメールが詐欺か検証する
2020.03.03 →「MyJCB Express News 重要な通知となります」という、JCBカード(MyJCB Express News)を騙るメールを分析する
関連記事
カテゴリ:フィッシング
タグ:JCB,MyJCBログイン,スパムメール,フィッシング詐欺