「MyJCB Express News 重要な通知となります 4/23/2020」というメールがフィッシング詐欺か検証する


公開日:

「MyJCB Express News 重要な通知となります 4/23/2020」というメールがフィッシング詐欺か検証します。

アカウントで異常なアクティビティが検出されたためJCBアカウントを停止させていただいておりますといった内容で、アカウントの確認を促す内容です。

■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

□■ お知らせ サービス停止のお知らせ

お客様のアカウントで異常なアクティビティが検出されたためJCBアカウントを停止させていただいております。

アカウントにログインして画面の指示に従うことで、.アカウントのロックを解除していただけます。

お客様にはご不便をおかけいたしますが、何とぞご理解いただきますようお願い申しあげます

■ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 ∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴

あなたのクレジットカード口座が第三者によって使用されていることを検知したので、あなたの口座が資金の安全のために凍結されたのですが、すぐにWEBサービスIDとパスワードを再登録して、制限を解除しなければなりません

変更をご WEBサービスよりお申込みください。

■ 変更をご 方法

▼MyJCBログインはこちら

  https://yiqishijue.com

==================================

 株式会社ジェーシービー

 東京都港区南青山5-1-22 青山ライズスクエア 〒107-8686

 ※本メールは送信専用です。

   お問い合わせは上のURLの、専用フォームよりお願いします。

==================================

 「MyJCB Express News」に掲載されているすべての記事、

 文章等の無断転載を禁止します。

 著作権はすべて、株式会社ジェーシービーに帰属します。

 Copyright JCB Co., Ltd. 2019

==================================

                              E191010242

まずメールヘッダーから送信元を調べてみます。

 送信者名はJCB、送信元メールアドレスはytkrvsq@jcb.co.jpとなっています。

Return-Pathのメールアドレスも同様です。

次に送信元サーバーも確認します。

 106.75.109.30というIPアドレスが出てきたので、これを調べてみます。

 送信元のサーバーは中国にあるようです。

次にリンクの誘導先を調べてみます。

 という誘導先です。

このドメインのwhois情報を調べてみます。

 ドメインレジストラはhttp://www.xinnet.com/という中国、北京のレジストラでした。

実際に安全を担保してhttps://yiqishijue[.]comへアクセスしてみます。

するとhttps://yiqishijue.com/index/login/index.htmlへリダイレクトされ、偽のMyJCBログインのページが現れます。

偽サイトですから、当然ユーザーデータベースを使った認証はできませんから、基本的に何を入れても「ログイン」ができます。

このページを通過すると、

【https://yiqishijue[.]com/index/index/index.html】

クレジットカード情報を窃取する画面です。

このページを超えると、個人情報とセキュリティコードを窃取する画面が現れます。

【https://yiqishijue[.]com/index/index/two.html】

この画面が終わると、JCBカードの本物のwebサイトのメンテナンス告知画面に移動します。

ThinkPHPを利用

さて、この偽サイトはThinkPHPという、中国で良く用いられるwebアプリケーションフレームワークが用いられています。

わざとエラーを出すと、

このようにThinkPHPのエラー画面が現れます。

Cloudflareを利用

このサイトは、Cloudflareを利用しています。

Aレコードは、104.24.106.177, 104.24.107.177, 2606:4700:3030::6818:6bb1, 2606:4700:3032::6818:6ab1 となっています。

関連記事



カテゴリ:
タグ:,,,



関連記事