【警報】 あなたのAppleIDはリセットされ、一時的にロックされていますというメールがフィッシング詐欺か検証する
情報セキュリティの3要素「機密性・完全性・可用性」とは?
【重要】お客様の【TS3 TS CUBIC CARDカード】が第三者に利用される恐れがあります。というメールがフィッシング詐欺か検証する
公開日:
【重要】お客様の【TS3 TS CUBIC CARDカード】が第三者に利用される恐れがあります。というメールがフィッシング詐欺か検証します。
TS CUBIC CARD(ティーエス キュービックカード)とはトヨタファイナンス株式会社が発行しているカードです。
第三者による不正使用の可能性を検知したので、カードを停止するといった内容です。
本文は以下の通り。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
★。.:*:TS CUBIC CARDモールのWEB。★。.:*:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
TS CUBIC CARD 様
弊社では、お客様に安心してカードをご利用いただくことを目的に、
第三者による不正使用を防止するモニタリングを行っています。
このたび、弊社の不正検知システムにおいて、現在、お客様がお持ちの
TS CUBIC CARDカードのご利用内容について、第三者による不正使用の可能性を
検知しましたので、ご連絡を差しあげました。
お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】まで、
なお、ご契約いただいているカードについては、第三者による不正使用の
可能性がございますので、カードのご利用を一時的に停止させていただいている、
もしくは今後停止させていただく場合がございます。
ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。
https//my.ts3card.com/webapp/ToTP01020106Action.do?command=doInit&vo.NO=0005298315&vo.KEY=0025664632&vo.CHKBN=00
なお72時間以内に本登録が完了しない場合は、このメールが無効となり
再度お手続きが必要となりますので、ご注意願います。
※上記URLをクリックしてもページが表示されない場合は
ご利用のブラウザ(Internet Explorer、Firefox など)の「アドレス」
または「場所」に上記URLをコピー・貼り付けしてアクセスしてください。
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓
■本メールは送信専用のため、こちらのメールアドレスにご返信いただいても
対応はいたしかねますのでご了承ください。
なお、本メールについてお心当たりがない場合には、
お手数ですが、下記お問い合わせ先までお電話にて連絡をお願いいたします。
================================================================
■発行:TS CUBIC CARD「ティーエスキュービックカード」
トヨタファイナンス株式会社
〒451-6014 愛知県名古屋市西区牛島町6番1号
■本メールについてのお問い合わせ:
●TOYOTA, DAIHATSU, ジェームス, トヨタレンタカー FDCの
TS CUBIC CARD, TS CUBIC VIEW CARDをお持ちの方はこちら
インフォメーションデスク
[ 東京 ] 03-5617-2511
[名古屋] 052-239-2511
(9:00~17:30 年中無休 年末年始除く)
●上記以外のカード会員さまは、お手持ちのカード券面裏に記載の
カードに関するお問い合わせ電話番号におかけください
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛
まずは送信元を調べてみます。
|
1 2 |
From: MY TS3 <info@ts3card.com> Return-Path: <bounces+17300426-7cde-example=example.com@sendgrid.net> |
送信者名はMy TS3となっており、TS CUBICカードのドメインにちなんでいます。
送信元メールアドレスもTS CUBICカードのものとなっていますが、Return-Pathはsendgridを用いて送信先、つまり自分のメールアドレスにちなんだものとなっています。
送信元サーバーは
|
1 |
Received: from 149.72.189.16 (EHLO wrqvbdkh.outbound-mail.sendgrid.net) (149.72.189.16) |
となっており、149.72.189.16は
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
NetRange: 149.72.0.0 - 149.72.255.255 CIDR: 149.72.0.0/16 (マスク範囲) NetName: SENDGRID-149-72-0-0-16 NetHandle: NET-149-72-0-0-1 Parent: NET149 (NET-149-0-0-0-0) NetType: Direct Allocation OriginAS: AS11377 Organization: SendGrid, Inc. (SENDG-12) RegDate: 2017-09-05 Updated: 2019-04-18 Comment: http://www.sendgrid.com Comment: Standard Support Hours - 7am - 7pm PST Ref: https://rdap.arin.net/registry/ip/149.72.0.0 |
sendgridのもので間違いなさそうです。
次にリンクの誘導先を調べてみます。
リンクの文字列は
|
1 |
https//my.ts3card.com/webapp/ToTP01020106Action.do?command=doInit&vo.NO=0005298315&vo.KEY=0025664632&vo.CHKBN=00 |
となっており、一見正規のリンクに見えます。
しかしソースから調べてみると、
|
1 |
<a rel="nofollow" href=" https://t.umblr[.]com/redirect?z=https%3A%2F%2Fwww.nhycomxuvytmr.icu%2F&t=ZGY3NjkwNTgzMTY4NjdhMjVmMDM5NGFhNzhlZDY1ZmQ0ZGYzODBlMiw1M2UwMTMxZDY1MmU0OTY2YmU5ZjhhOWUxMGVmMjhmYmMyYjY3ZmVj" |
となっており、Tumblrの外部リンク用のURLが使われています。
つまりここからリダイレクトされるわけですが、リダイレクト先はhttps://www.nhycomxuvytmr[.]icu/ となっています。
このドメインのwhois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
Domain Name: NHYCOMXUVYTMR.ICU Registry Domain ID: D191794509-CNIC Registrar WHOIS Server: whois.namesilo.com Registrar URL: https://www.namesilo.com Updated Date: 2020-06-30T08:45:19.0Z Creation Date: 2020-06-30T08:32:32.0Z Registry Expiry Date: 2021-06-30T23:59:59.0Z Registrar: NameSilo, LLC Registrar IANA ID: 1479 Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registrant Organization: See PrivacyGuardian.org Registrant State/Province: AZ Registrant Country: US Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Name Server: NS1.DNSOWL.COM Name Server: NS2.DNSOWL.COM Name Server: NS3.DNSOWL.COM DNSSEC: unsigned Billing Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Registrar Abuse Contact Email: abuse@namesilo.com Registrar Abuse Contact Phone: +1.4805240066 URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ |
namesiloで 取得されたばかりのドメインでした。
安全を担保して、このドメインへアクセスしてみます。
すると、
TS CUBICカードの偽のログイン画面が運用されていました。
カード番号を窃取する画面もあります。
このフィッシング詐欺サイトのIPアドレスは 98.126.219.29 、逆引きホスト名はmoack.explori[.]clubで、アメリカのサーバーのようです。
【重要】お客様の【TS3 TS CUBIC CARDカード】が第三者に利用される恐れがあります。というメールはフィッシング詐欺
【重要】お客様の【TS3 TS CUBIC CARDカード】が第三者に利用される恐れがあります。というメールはフィッシング詐欺です。
このメールは一見TS CUBICカードからの送信に見えますが、sendglidというメールマーケティングサービスを悪用したものです。
またリンクの文字列は正規のものに見えますが、ソースから確認すると全く違うドメインに誘導されており、フィッシング詐欺サイトが運用されています。
くれぐれもアカウント情報やカード情報、会員個人情報などを入力しないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:TS CUBIC CARD,スパムメール,ティーエス キュービックカード,トヨタファイナンス株式会社,フィッシング詐欺
関連記事
人気記事
