Web改ざん被害からの復旧後、Google Ads(旧アドワーズ)広告が不承認となるケースについて考える
【重要なお知らせ】エポスカードご利用確認というメールを分析してみる
【重要なお知らせ】【三菱UFJ ニコス Net Branch】ご利用確認のお願いというメールを分析する
公開日:
【重要なお知らせ】【三菱UFJ ニコス Net Branch】ご利用確認のお願いというメールを分析します。
本人の利用かどうか確認したい取引があったのでカード利用の制限を行った、ついては以下にアクセスして利用確認にご協力を、といった内容です。
メール本文は以下の通り。
【三菱UFJニコス銀行】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
■ご利用確認はこちら
ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。
──────────────────────────────────
三菱UFJニコス銀行
━━━━━━━━━━━━━━━
■発行者■
三菱UFJニコス銀行
東京都中野区中野4-3-2
──────────────────────────────────
Copyright(C) Mitsubishi UFJ NICOS Co.,Ltd.All Rights Reserved.
無断転載および再配布を禁じます。
早速メールヘッダーから調べてみます。
|
1 2 |
From: "DCカード" <info@cr.mufg[.]jp> Return-Path: <pdrrkucato@cr.mufg[.]jp> |
送信者名はDCカードとなっています。
送信元メールアドレスとReturn-pathは異なっていますが、ともにcr.mufg[.]jpという正規のドメインが設定されています。
送信元サーバーも調べてみます。
|
1 |
Received: from cr.mufg[.]jp (unknown [116.85.66[.]179]) |
116.85.66.179というIPアドレスが出てきました。
このIPアドレスを調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
inetnum: 116.85.0.0 - 116.85.255.255 netname: XJKJ descr: Beijing Xiaoju Technology Co., Ltd descr: Beiqu 2, Floor 5, Building 1, No 9 Shangdi East Road descr: Haidian District, Beijing, China admin-c: ZM1669-AP tech-c: ZM1669-AP country: CN mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN status: ALLOCATED PORTABLE last-modified: 2018-06-08T07:46:02Z source: APNIC |
中国のIPアドレスであることが分かります。
次に誘導先について調べてみます。
メール本文をデコードすると、
|
1 |
<a href="https://www.l-jp[.]cc/login.php">三菱UFJニコス銀行</a> |
となっており、https://www.l-jp[.]cc/login.php がリンク先のようです。
このドメインのwhois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
Domain Name: L-JP.CC Registry Domain ID: 157660364_DOMAIN_CC-VRSN Registrar WHOIS Server: grs-whois.hichina.com Registrar URL: http://www.net.cn Updated Date: 2021-05-07T15:00:53Z Creation Date: 2021-05-07T14:59:01Z Registry Expiry Date: 2022-05-07T14:59:01Z Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd. Registrar IANA ID: 420 Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number Domain Status: ok https://icann.org/epp#ok Name Server: JM1.ALIDNS.COM Name Server: JM2.ALIDNS.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of WHOIS database: 2021-05-10T07:14:05Z <<< |
中国で2021/05/07に取得されているドメインでした。
なおIPアドレスは104.168.89[.]77、ColoCrossingという米国のホスティング会社のものです。
さて、安全を担保したうえでこのサイトにアクセスしてみます。
すると、
このようにカードブランドを選択するページが存在していました。
なお、こうした詐欺サイトの常ですがどのカードブランドを選択しても同じカードブランドの同じページに遷移します。
【重要なお知らせ】【三菱UFJ ニコス Net Branch】ご利用確認のお願いというメールはフィッシング詐欺
さて、これはもちろん偽サイトで、個人情報やカード情報の窃取を目的としています。
送信者名にはDCカードとありましたが、実際には中国のサーバーから送信されており、米国のホスティングサービスを利用した偽のサイトに誘導しています。
くれぐれも個人情報やクレジットカード情報を入力することのないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,三菱UFJニコス
関連記事
人気記事
