「カードご利用内容の確認のお願い」というJCBカードのメールがフィッシング詐欺か検証する
公開日:
見出し
「カードご利用内容の確認のお願い」というJCBカードのメールがフィッシング詐欺か検証します。
JCBカードの利用内容について、第三者による不正使用の可能性を検知したので凍結した、アカウントを確認して欲しいといった内容です。
文面は以下の通りです。
===================================
本メールはJCBカードのご利用にあたっての、大切なご連絡事項です。
そのため、「JCBからのお知らせメール配信」を「希望しない」に
設定しているお客様へもお送りしています。
===================================
いつもJCBカードをご利用いただきありがとうございます。
弊社では、お客様に安心してカードをご利用いただくことを目的に、
第三者による不正使用を防止するモニタリングを行っています。
このたび、弊社の不正検知システムにおいて、現在、お客様がお持ちの
JCBカードのご利用内容について、第三者による不正使用の可能性を
検知しましたので、ご連絡を差しあげました。
ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。
===================================
弊社におけるセキュリティー対策について
あなたの口座が資金の安全のために凍結されたのですが、すぐにWEBサービスIDとパスワードを再登録して、制限を解除しなければなりません
変更をご WEBサービスよりお申込みください。
■ 変更をご 方法
▼MyJCBログインはこちら
https://my-jc-b-co.neworleans-garage-door.com/index/login/index.html
===================================
【お問い合わせ窓口】
株式会社ジェーシービー
セキュリティーデスク
電話番号 : 0120-520-312(日本国内から 通話料無料)
0422-40-8645(海外から コレクトコール可(※1))
※1ご滞在国の国際電話のオペレーターを呼び出し、コレクトコールを依頼してください。
営業時間 : (平日)9:00AM?8:00PM、(土・日・祝)9:00AM?6:00PM (いずれも年中無休)
※上の営業時間外でもお電話は24時間つながります。営業時間外は、
JCBオーソリセンターにてご利用内容の確認をさせていただきます。
※本メールに直接返信されましても対応できません。
※お問い合わせは上の電話番号までご連絡をお願いいたします。
===================================
本メールに掲載されているすべての記事、文章等の無断転載を禁止します。
著作権はすべて、株式会社ジェーシービーに帰属します。
Copyright (C) JCB Co.,Ltd. All rights reserved.
postmaster@my.jcb.co.jpからのメール
まずはメールヘッダーから送信元を調べてみます。
1 2 |
From: myjcb <postmaster@my.jcb.co.jp> Return-Path: <postmaster@my.jcb.co.jp> |
送信者名はmyjcb、送信元メールアドレスとReturn-Pathはともにpostmaster@my.jcb.co.jpとなっています。
このため、正規のメールのように見えるかもしれません。
そこで送信元サーバーも確認します。
1 |
Received: from my.jcb.co.jp (unknown [117.50.106.74]) |
ホスト名には送信元メールアドレスにも用いられていたmy.jcb.co.jpの文字が見えますが、IPアドレスは117.50.106.74になっています。
このIPアドレスを調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 |
inetnum: 117.50.0.0 - 117.50.255.255 netname: UCLOUD-NET descr: Shanghai UCloud Information Technology Company Limited admin-c: JJ2197-AP tech-c: JJ2197-AP country: CN → (中国) mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN mnt-routes: MAINT-CNNIC-AP status: ALLOCATED PORTABLE last-modified: 2017-06-22T01:26:02Z source: APNIC |
中国から送信されていることが分かります。
次に誘導先を調べてみます。
このメールはリンクではなく、単にURLが記載されているだけです。
1 |
https://my-jc-b-co.neworleans-garage-door.com/index/login/index.html |
というURLが記されていますが、よくみるとドメインはmy-jc-b-co.neworleans-garage-door.comとなっており、これはneworleans-garage-door.comというドメインのサブドメインです。
これはJCBカードとは無関係ですからフィッシング詐欺であると考えられますがあとで実際にアクセスしてみることにしましょう。。
まずはこのドメインのwhois情報を調べてみます。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
Domain Name: NEWORLEANS-GARAGE-DOOR.COM Registry Domain ID: 2409752964_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.kqw.com Registrar URL: http://www.kqw.com Updated Date: 2020-05-09T01:20:28Z Creation Date: 2019-07-05T18:17:32Z Registry Expiry Date: 2020-07-05T18:17:32Z Registrar: KQW, Inc. Registrar IANA ID: 1903 Registrar Abuse Contact Email: Registrar Abuse Contact Phone: Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Name Server: NICOLAS.NS.CLOUDFLARE.COM Name Server: SERENA.NS.CLOUDFLARE.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of whois database: 2020-05-10T05:45:46Z <<< |
レジストラはhttp://www.kqw.com、これは中国の厦門にあるレジストラのようです。
実際にフィッシング詐欺サイトにアクセスしてみます
安全を担保したうえで実際にアクセスしてみます。
なお、IPアドレスは2606:4700:3030::6812:269d、CloudFlareを利用しています。
https://my-jc-b-co.neworleans-garage-door[.]com/index/login/index.html
次の画面で、クレジットカード情報を窃取します。
https://my-jc-b-co.neworleans-garage-door[.]com/index/index/index.html
最後の画面で、個人情報を窃取します。
https://my-jc-b-co.neworleans-garage-door[.]com/index/index/two.html
このページの入力を行うと、JCBカードの本物のwebサイト、サービス停止スケジュールのページへリダイレクトします。
わざとエラーを出してみる
わざと存在しないページを指定してエラーを出してみると、
1 2 |
页面错误!请稍后再试~ ThinkPHP V5.1.8 { 十年磨一剑-为API开发设计的高性能框架 } |
という文字列が表示されました。
ThinPHPは主に中国で用いられているPHPのwebフレームワークです。
やはり中国色の濃いものだと分かります。
「カードご利用内容の確認のお願い」というJCBカードのメールはフィッシング詐欺
「カードご利用内容の確認のお願い」というJCBカードのメールはフィッシング詐欺メールです。
送信者名はmyjcb、送信元メールアドレスとReturn-Pathはともにpostmaster@my.jcb.co.jpとなっているため一見本物のJCBカードからのメールのようにも見えますが、送信元のIPアドレスは中国であり、偽物です。
指定されているURLは、JCBとは全く関係のないドメインであり、レジストラは中国のレジストラです。
CloudFlareを使ってサーバーが分からないようにしてありますが、中国で良く用いられるPHPフレームワークを利用して作られていることも分かりました。
明らかなフィッシング詐欺メールですから、くれぐれも記載URLに行って個人情報やクレジットカード情報を入力しないようにご注意ください。
2020.06.09 →【重要】お客様の【MyJCBカード】が第三者に利用される恐れがあります。というメールがフィッシング詐欺か検証する
2020.05.28 →「カードご利用内容の確認のお願い」というJCBカードからのメールがフィッシング詐欺か検証する
2020.05.27 →「【MyJCB】お支払い方法を更新してください(自動配信メール)」というメールがフィッシング詐欺か検証
2020.05.10 →「カードご利用内容の確認のお願い」というJCBカードのメールがフィッシング詐欺か検証する
2020.04.23 →「MyJCB Express News 重要な通知となります 4/23/2020」というメールがフィッシング詐欺か検証する
2020.04.16 →「あなたのクレジットカード口座が第三者によって使用されていることを検知したので」というメールが詐欺か検証する
2020.03.03 →「MyJCB Express News 重要な通知となります」という、JCBカード(MyJCB Express News)を騙るメールを分析する
関連記事
カテゴリ:フィッシング
タグ:JCB,JCBカード,MyJCBログイン,スパムメール,フィッシング詐欺