「Update Your PayPal Billing Infirmation」というPaypalを偽装したフィッシング詐欺メールを検証する


公開日:

「Update Your PayPal Billing Infirmation」というPaypalを偽装したフィッシング詐欺メールを検証します。

不正アクセスを防ぐために、アカウントのセキュリティ保護をしてほしいといった内容です。

文面は以下の通りですが、これは画像で送信されてくるためテキストではありません。

We noticed some unusual activity

We need your help securing your account to prevent unauthorized access.For your safety,there may be some limitations on your until you take action. 

Secure My Acconunt

まず、送信元を調べてみます。

 送信者名はPaypalですが、送信元メールアドレスやReturn-Pathはbuchungsbestaetigung@bahn.deとなっており、ドイツのドメインです。

このドメインは実在しており、ドイツ鉄道のバーンカードと呼ばれる割引チケットのサイトに用いられているドメインです。

よって、Paypalではありません。

 また送信元メールアドレスやReturn-Pathは偽装できますから、送信元サーバーも調べてみます。

そこで送信元サーバーを調べてみると、182.48.45.214というIPアドレスから送信されていることが分かります。

このIPアドレスは日本のさくらインターネットに割り振られているIPアドレスですが、同時にこのIPに直接アクセスしてみると某国内事業者がメールサーバーサービスを提供していることがわかります。

次にリンクの誘導先について調べてみます。

 リンク先は短縮URLになっていますが、これは実際には

 へと転送されます。

manantialdecolores.edu[.]mxは実在するメキシコの幼児教育機関のようですが、このトップページのソースを見てみると、

 となっており、どうやら第三者による不正アクセスにより改ざん被害に遭っているようです。

Google検索でも、「このサイトは第三者によってハッキングされている可能性があります。」という注記が付きます。

使用しているCMSはWordPress、バージョンはやや古いバージョンが用いられています。

安全を担保してアクセスしてみます。

captchaが設定されておりこれを通らないと先に進めませんが、もちろん偽のサイトです。

偽のログインページが現れます。

「Update Your PayPal Billing Infirmation」というメールは、Paypalを偽装したフィッシング詐欺メール

「Update Your PayPal Billing Infirmation」というメールは、Paypalを偽装したフィッシング詐欺メールです。

Paypalという送信者名であるものの、実際はドイツのバーンカードのメールアドレスを偽装したり、日本のサーバーから送信されているなど、Paypalとは全く関係がありません。

またリンクの誘導先は不正に改ざんされたメキシコの幼児教育機関のサイトであり、ここに偽のPaypalサイトをフィッシング用に開設しています。

くれぐれもログイン情報を入力しないようご注意ください。

関連記事



カテゴリ:
タグ:



関連記事