三井住友カード【重要】というメールがフィッシング詐欺か調査する
ゆうちょ銀行のmijica(ミヂカ)サイトで不正アクセス被害、個人情報流出か-mijicaWEB を一時停止-
(三菱UFJニコス)通信の一部が第三者に漏えいする可能性があることが報告されていますというメールがフィッシング詐欺か検証する
公開日:
(三菱UFJニコス)通信の一部が第三者に漏えいする可能性があることが報告されています、というメールがフィッシング詐欺か検証します。
第三者による不正利用の懸念があったので、カード利用を一時停止したという内容です。
メール本文は以下の通り。
いつも三菱UFJニコスをご利用いただき、誠にありがとうございます。
~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~
インターネット通信の暗号化方式「SSL3.0」および「TLS1.0」「TLS1.1」について、通信の一部が第三者に漏えいする可能性があることが報告されています。
このため、当行においてもセキュリティ強化のためSSL3.0、TLS1.0、TLS1.1による通信を無効化いたします。
お客さまのDCカード・MUFGカード・NICOSカードにおいて第三者による不正利用の懸念がございましたので、会員規約第3条に基づきカード利用を一時利用停止されました。
ご利用環境が本人の確認してからセキュリティ更新後、下記のURLを再開手続きの設定してださい。
~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~
※本メールは、セキュリティ強化のため、下記のURLを再開手続きはこちら↓
https://www2.cr.mufg.jp/newsplus/?cardBrand=0012&lid=news_dc
~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~
※本メールは三菱UFJニコスの「Eメール通知サービス」を
ご利用のお客さまへ配信しています。
■編集・発行:株式会社三菱UFJ銀行
東京都千代田区丸の内2-7-1
[登録金融機関]関東財務局長(登金)第5号
[加入協会]日本証券業協会
一般社団法人 金融先物取引業協会
一般社団法人 第二種金融商品取引業協会
■ご登録にお心あたりのない場合や電子署名についてのお問い合わせ
<インターネットバンキングヘルプデスク>
0120-543-555(または042-311-7000(通話料有料))
受付時間/毎日 9:00~21:00
■配信停止・Eメールアドレス変更はこちらからお手続きください。
https://direct.bk.mufg.jp/btm/ser_naiyo/email.html
■個人情報保護方針について
三菱UFJニコスでは、お客さまの個人情報を適切に保護するため、その取り扱いにつきましては細心の注意を払っています。
https://www.bk.mufg.jp/kojinjouhou/houshin.html
■本メールの送信アドレスは送信専用となっております。返信メールでのお問い合わせは承りかねますので、あらかじめご了承願います。(23726)
――Copyright(C)
MUFG Bank,Ltd.All rights reserved.――
まずは送信元から調べてみます。
|
1 2 |
From: =?utf-8?B?5LiJ6I+xVUZK44OL44Kz44K5?= <smbc@edm12.smbccojp11.com> Return-Path: <smbc@edm12.smbccojp11.com> |
送信者名は三菱UFJニコス、送信元メールアドレスとReturn-Pathはともにsmbc@edm12.smbccojp11[.]comとなっています。
DNSサーバーを見ると中国IPだらけです。
そこで送信元のIPアドレスを調べてみます。
|
1 |
Received: from 124.83.142.160 (EHLO edm12.smbccojp11.com) (23.247.58.163) |
23.247.58.163というIPアドレスが出てきました。
例によって米国のLayerHostのIPアドレスです。
メール本文中のリンクの誘導先を調べてみます。
|
1 |
<a rel="nofollow" target="_blank" href="https://www.crmufg[.]com/">https://www2.cr.mufg.jp/newsplus/?cardBrand=0012&lid=news_dc</a> |
表面上見えているリンクは、https://www2.cr.mufg.jp/newsplus/?cardBrand=0012&lid=news_dc でありこれは正規のURLです。
しかしソースを見ると、このリンクはhttps://www.crmufg[.]com/ へと遷移するようになっています。
このドメインのwhois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
Domain Name: crmufg.com Registry Domain ID: 2562089316_DOMAIN_COM-VRSN Registrar WHOIS Server: grs-whois.hichina.com Registrar URL: http://whois.aliyun.com Updated Date: 2020-09-25T18:46:52Z Creation Date: 2020-09-25T18:41:00Z Registrar Registration Expiration Date: 2021-09-25T18:41:00Z Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd. Registrar IANA ID: 420 Reseller: Domain Status: ok https://icann.org/epp#ok Registrant City: Registrant State/Province: he bei Registrant Country: CN Registrant Email:https://whois.aliyun.com/whois/whoisForm Registry Registrant ID: Not Available From Registry Name Server: JM1.ALIDNS.COM Name Server: JM2.ALIDNS.COM DNSSEC: unsigned Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>>Last update of WHOIS database: 2020-10-03T06:44:30Z <<< |
中国で登録されているドメインでした。
IPアドレスは185.245.2.153、これは香港のIPアドレスです。
安全を担保したうえでこのURLにアクセスしてみます。
すると、
このように偽の三菱UFJカードwebサービスログインページが稼働していることが分かります。
また、以下のように偽の個人情報入力画面が出てきます。
これは先に調査した「「お客様の【三菱UFJ銀行】口座・通帳一時利用停止中、再開のお手続きの設定してください」というメールがフィッシング詐欺か検証する」の事案と同様、入力フォームの遷移を減らしていますが、同時に住所項目を追加しているものです。
(三菱UFJニコス)通信の一部が第三者に漏えいする可能性があることが報告されていますというメールはフィッシング詐欺
(三菱UFJニコス)通信の一部が第三者に漏えいする可能性があることが報告されていますというメールはフィッシング詐欺です。
送信者名は三菱UFJニコスですが、実際は米国のサーバーから送信されており、DNSサーバーの情報を見ると多くの中国IPアドレスが見て取れます。
またリンクの誘導先は香港のサーバーで、偽の三菱UFJカードwebサービスログインページが稼働しています。
くれぐれもアカウント情報やクレジットカード情報など、個人情報を入力することがないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:NEWS+PLUS,スパムメール,フィッシング詐欺,三菱UFJダイレクト,三菱UFJニコス,三菱UFJ銀行
関連記事
人気記事
