至急、S M B Cカード会員サービスに修正情報を再登録してくださいというメールがフィッシング詐欺か検証する

公開日:2020/10/14

至急、S M B Cカード会員サービスに修正情報を再登録してくださいというメールがフィッシング詐欺か検証します。

本文は以下の通り。

本メールはドメインの運用（メール送受信やホームページの表示）に関わる

重要な通知となります。

いつもS M B Cカードをご利用いただきありがとうございます。

弊社では、お客様に安心してカードをご利用いただくことを目的に、

第三者による不正使用を防止するモニタリングを行っています。

当社の検出を経て、第3者が不法悪意ログインあなたの三井住友ニコスwebサービス。

お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】まで、

なお、ご契約いただいているカードについては、第三者による不正使用の

可能性がございますので、カードのご利用を一時的に停止させていただいている、

もしくは今後停止させていただく場合がございます。

ご不便とご心配をおかけしまして誠に申し訳ございませんが、

何とぞご理解賜りたくお願い申しあげます。

至急、S M B Cカード会員サービスに修正情報を再登録してください

VpassID ログイン

久しぶりにひどい日本語のメールです。

まず送信元を調べてみます。

From: "三井住友Vpass" <smbc>
Return-Path: <inyhkrq@bj.biz>

1 2	From: "三井住友Vpass" <smbc> Return-Path: <inyhkrq@bj.biz>

送信者名は三井住友Vpassとなっていますが、送信元メールアドレスはsmbcとしかなく、メールアドレスの形式になっていません。

またReturn-Pathはinyhkrq@bj[.]bizとなっており、三井住友カードとはまったく関係のないメールアドレスになっています。

送信元IPアドレスを調べてみます。

eceived: from bj.biz (v150-95-221-2.ydvw.static.cnode.io [150.95.221.2])

1	eceived: from bj.biz (v150-95-221-2.ydvw.static.cnode.io [150.95.221.2])

cnode.ioが見えたらもうGMOインターネットですね。

日本のサーバーから送信されているようです。

次に、メール本文中にあるリンクの誘導先を調べてみます。

ソースをチェックしてみると

<A href="https://cxghdsf.yegdnmtd[.]top">登録</A>

1	<A href="https://cxghdsf.yegdnmtd[.]top">登録</A>

となっており、実際の誘導先はhttps://cxghdsf.yegdnmtd[.]topであることが分かります。

IPアドレスは108.166.217.142でした。

NetRange: 108.166.192.0 - 108.166.223.255
CIDR: 108.166.192.0/19
NetName: MULTA-NET11
NetHandle: NET-108-166-192-0-1
Parent: NET108 (NET-108-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS35916
Organization: MULTACOM CORPORATION (MULTA)
RegDate: 2012-01-26
Updated: 2012-01-26
Ref: https://rdap.arin.net/registry/ip/108.166.192.0


OrgName: MULTACOM CORPORATION
OrgId: MULTA
Address: 16654 Soledad Canyon Rd #150
City: Canyon Country
StateProv: CA
PostalCode: 91387
Country: US
RegDate: 2005-03-23
Updated: 2017-01-28
Ref: https://rdap.arin.net/registry/entity/MULTA