「お客様の【三菱UFJ銀行】口座・通帳一時利用停止中、再開のお手続きの設定してください」というメールがフィッシング詐欺か検証する
公開日:
「お客様の【三菱UFJ銀行】口座・通帳一時利用停止中、再開のお手続きの設定してください」というメールがフィッシング詐欺か検証します。
お客様の【三菱UFJ銀行の口座】が第三者に利用される恐れがあります、といった内容です。
文面は以下の通り。
三菱UFJダイレクトをご利用いただき、誠にありがとうございます。
〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜
※本メールは、セキュリティ強化のため、電子署名をつけてお送りしています。
(当行からお客さまに電話をかけて、下記ワンタイムパスワードを口頭で確認したり、電話機への入力操作を依頼することはありません)
〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜∞〜
お客様の【三菱UFJ銀行の口座】が第三者に利用される恐れがあります。
本人使用じゃない場合、迅速にデバイスロックを実施して、セキュリティ強化、カード・通帳一時利用停止、再開のお手続きの設定してください。
ご入力いただきました内容で所定の審査をすすめさせていただきます。
ご確認については、こちらからご確認ください。
https://www2.cr.mufg.jp/newsplus/?cardBrand=0011&lid=news_mufg
(ご注意)
このメールアドレスは送信専用です。
返信をいただいてもご回答できませんのでご了承ください。
★☆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━☆★
このメールは、【三菱UFJ銀行】セキュリティ強化、カード・通帳一時利用停止、再開のお手続きの方へ送信させていただいております。
ご不明な点がございましたらお手数ですが下記までご連絡をお願いいたします。
───────────────────────────────────
編集・発行:株式会社三菱東京UFJ銀行
■お問い合わせ
<インターネットバンキングヘルプデスク>
0120-543-555
(または042-311-7000(通話料有料))
→三菱東京UFJダイレクトについて(サービスメニュー「1-2」)
→電子署名について(サービスメニュー「1-4」)
→アドレスのご登録にお心あたりがない場合(サービスメニュー「0」)
受付時間/毎日
9:00~21:00
■Eメールアドレスの変更方法
「三菱東京UFJダイレクト インターネットバンキング・モバイルバンキ
ング」にログイン後、「各種手続」から「Eメール通知サービス登録・Eメ
ールアドレス変更」を選択し、お手続きを行ってください。
■個人情報保護方針について
三菱東京UFJ銀行では、お客さまの個人情報を適切に保護するため、その
取り扱いにつきましては細心の注意を払っています。
https://www2.cr.mufg.jp/newsplus/?cardBrand=0011&lid=news_mufg
■本メールの送信アドレスは送信専用となっております。返信メールでのお問
い合わせは承りかねますので、あらかじめご了承願います。
まずは送信元を調べてみます。
1 2 |
From: "MUFG.JP" <MUFG.JP> Return-Path: <admin@atzpmokji.site> |
送信者名はMUFG.JPとなっていますが、Return-Pathはadmin@atzpmokji[.]siteとなっており、三菱UFJ銀行とは異なることが分かります。
送信元のサーバーも確認してみます。
1 |
Received: from atzpmokji.site (hwsrv-779744.hostwindsdns.com [192.119.90.183]) |
192.119.90.183というIPアドレスが出てきます。
これはここにも出ている通りhostwindsdns.comという米国のホスティング会社のIPアドレスで、このホスティングサービスを悪用したフィッシング詐欺メールは過去にも観測されています。
次にリンクの誘導先も調べてみます。
本文をbase64でデコードすると、
1 |
<A href="http://mufj.xyz/">https://www2.cr.mufg.jp/newsplus/?cardBrand=0011&lid=news_mufg</A> |
リンク部分はこのようなソースとなっており、リンク文字列にあるURLと実際のリンク先(http://mufj[.]xyz/)が異なることが分かります。
whois情報を見てみると
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
Domain Name: MUFJ.XYZ Registry Domain ID: D202245648-CNIC Registrar WHOIS Server: whois.namesilo.com Registrar URL: https://www.namesilo.com Updated Date: 2020-09-27T15:00:30.0Z Creation Date: 2020-09-27T14:58:35.0Z Registry Expiry Date: 2021-09-27T23:59:59.0Z Registrar: NameSilo, LLC Registrar IANA ID: 1479 Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registrant Organization: See PrivacyGuardian.org Registrant State/Province: AZ Registrant Country: US Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Name Server: NS1.DNS.COM Name Server: NS2.DNS.COM |
登録者の国は米国となっていますが、DNSサーバーのIPアドレスはほとんど中国と香港になっています。
IPアドレスは198.211.54.76、MULTACOMという米国のホスティングサービスのIPアドレスです。
さて、安全を担保してこのURLにアクセスしてみると、
このように、三菱UFJニコスの偽サイトが運用されています。
実際に偽サイトに入っていくと、
以下のように偽の個人情報入力画面が出てきます。
本物より入力項目を減らすも、「住所」だけは付加して取得するフィッシング詐欺サイト
このページのソースを見ると、元となったページのURLを知ることができるので本物と比べてみます。
本物(右側)は、DC Webサービスとなっていますが、偽物はDCがありません。
また、本物は入力フォームが3つ、さらに確認画面がありますが、偽物は1画面のみです。
その1画面の中にも、一つだけ変更されている点があります。
それは、「住所」の入力が付加されている点です。
さて、これは明らかなフィッシング詐欺であり、そうしたサイトが他の入力項目を削りながらも住所入力だけは付加していることに不気味さを覚えるのではないでしょうか。
「お客様の【三菱UFJ銀行】口座・通帳一時利用停止中、再開のお手続きの設定してください」というメールはフィッシング詐欺
「お客様の【三菱UFJ銀行】口座・通帳一時利用停止中、再開のお手続きの設定してください」というメールはフィッシング詐欺です。
このメール、および誘導先は主に米国のサーバーリソースを使用していますが、ネームサーバーは中国ばかりです。
また離脱を防ぐために入力項目を大幅に削減していますが、住所だけは付加しています。
くれぐれもアカウント情報や個人情報などを入力することがないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:NEWS+PLUS,スパムメール,フィッシング詐欺,三菱UFJダイレクト,三菱UFJニコス,三菱UFJ銀行