「あなたのアカウントは停止されました」というAmazonからのメールがフィッシング詐欺か検証する
「あなたのアカウントは異常行為で制限されています」という楽天からのメールがフィッシング詐欺か検証する
振込(他の金融機関口座への送金)というゆうちょ銀行からのメールがフィッシング詐欺か検証する
公開日:
振込(他の金融機関口座への送金)というゆうちょ銀行からのメールがフィッシング詐欺か検証します。
口座資金のセキュリティを高めるために、全面的にシステムのバージョンアップを行ったので、すぐに口座の更新をしてほしいといった内容で、メールタイトルとの関連は薄いものとなっています。
メール文面は以下の通り。
最近、ゆうちょ銀行はお客様の口座資金のセキュリティを高めるために、全面的にシステム
のバージョンアップを行いました。すぐに口座の更新をお願いします。
こちらのURLをクリックしてください
https://www.jp-bank.japanpost.jp/sampa/igncampai
■ゆうちょダイレクトのセキュリティに関するお願い
ゆうちょダイレクトをより安全にご利用いただくため、
以下のセキュリティ対策の実施をお願いいたします。
●トークン(ワンタイムパスワード生成機)のご利用(無料)
●OSやインストールしているソフト等は常に最新の状態で使用
●メーカーのサポート期限が経過したOSやソフト等は使用しない
●ウイルス対策ソフトの導入および最新の状態への更新
●不正送金対策ソフト「PhishWallプレミアム」のご利用(無料)
●携帯電話・スマートフォンのメールアドレスを登録
●送金などの操作を行う端末と別の端末で受信するメールアドレスを登録
■============■
※この度のお取り扱いに関し、ご不明な点がございましたら、次の連絡先まで
ご連絡をお願いいたします
本メールの内容を無断で引用、転載することを禁じます。
※ 現在、受付時間を短縮しております。
電話:0120-992503(通話料無料)
お取扱時間:平日 8時30分21時
土日休日 9時17時
(12月31日1月3日は、9時17時)
最新の情報は、ゆうちょ銀行Webサイトでご確認ください。
まずはメールの送信元を調べてみます。
|
1 2 |
From: "【ゆうちょ銀行】" <informa1tion@jp-bank.japanpost.jp> Return-Path: <qkxbqt@sdakeiyk.org> |
送信者名はゆうちょ銀行となっており、メールアドレスもinforma1tion@jp-bank.japanpost.jp と一見それっぽいものになっていますが、よく見るとinforma1tionに数字の1が混ざっています。
またReturn-Pathは qkxbqt@sdakeiyk.org となっており、ゆうちょ銀行とは関係のないドメインのメールアドレスが指定されています。
送信元のサーバーも調べてみます。
|
1 |
Received: from sdakeiyk.org (unknown [103.84.93.23]) |
103.84.93.23というIPアドレスが出てみました。
このIPアドレスを調べてみると、中国のIPアドレスのようです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
inetnum: 103.84.92.0 - 103.84.95.255 netname: DQYNCL-CN descr: room 1107-1108, descr: No. 541 Huangpu Road, descr: DalianHigh-tech Park, Dalian , Liaoning Province, China. country: CN → (中国) org: ORG-DQYN1-AP admin-c: DQYN1-AP tech-c: DQYN1-AP status: ASSIGNED PORTABLE mnt-by: APNIC-HM mnt-routes: MAINT-DQYNCL-CN mnt-irt: IRT-DQYNCL-CN remarks: -------------------------------------------------------- remarks: To report network abuse, please contact mnt-irt remarks: For troubleshooting, please contact tech-c and admin-c remarks: Report invalid contact via www.apnic.net/invalidcontact remarks: -------------------------------------------------------- last-modified: 2017-09-26T23:29:13Z source: APNIC |
次に、メール本文中のリンクの誘導先を調べてみます。
文字コードに注目してみます。
|
1 2 |
Content-Type: text/html; charset="gb2312" Content-Transfer-Encoding: base64 |
base64でエンコードされていますが、文字コードに指定されていたのはcharset=”gb2312″です。
gb2312は、簡体字中国語の文字コードです。
base64でデコードしてみると、
|
1 |
<A href="https://www.tuiyuo.com">https://www.jp-bank.japanpost.jp/sampa/igncampai</A> |
となっており、実際にメール本文中で見えているリンクの文字列(アンカーテキスト)とは異なる、https://www.tuiyuo[.]com が本当の誘導先であることが分かります。
さて、この誘導先のIPアドレスは103.253.140.128でした。
このIPアドレスを調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
inetnum: 103.253.140.0 - 103.253.143.255 netname: HSWIL-HK descr: FLAT B07 23/F HOVER IND BLDG NO.26-38 KWAI CHEONG RD NT country: HK → (香港) org: ORG-HSWI1-AP admin-c: HSWI1-AP tech-c: HSWI1-AP status: ASSIGNED PORTABLE mnt-by: APNIC-HM mnt-routes: MAINT-HSWIL-HK mnt-irt: IRT-HSWIL-HK remarks: -------------------------------------------------------- remarks: To report network abuse, please contact mnt-irt remarks: For troubleshooting, please contact tech-c and admin-c remarks: Report invalid contact via www.apnic.net/invalidcontact remarks: -------------------------------------------------------- last-modified: 2017-09-26T23:27:27Z source: APNIC |
香港に割り当てられたIPアドレスだと分かります。
安全を担保して、このURLにアクセスしてみます。
すると、
このようにゆうちょ銀行の偽サイトが運用されています。
また偽のゆうちょダイレクトへのログインが存在します。
振込(他の金融機関口座への送金)というゆうちょ銀行からのメールはフィッシング詐欺
振込(他の金融機関口座への送金)というゆうちょ銀行からのメールはフィッシング詐欺です。
このメールはゆうちょ銀行から送信されているように装っているだけで実際には中国から送信されており、メールの文字コードの特徴も中国のものです。
またリンクの誘導先もゆうちょ銀行の偽サイトであり、これは香港のサーバーで運用されているものでした。
お客様番号や個人情報、カード情報などを入力することがないよう、くれぐれもご注意ください。
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,ゆうちょダイレクト,ゆうちょ銀行
関連記事
人気記事
