ETCサービスのお知らせというメールがフィッシング詐欺か検証する
Amazon Pay ご請求内容のお知らせ番号:460929421391というメールがフィッシング詐欺か検証する
※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールがフィッシング詐欺か検証する
公開日:
※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールがフィッシング詐欺か検証します。
メール本文は以下の通りです。
本人確認手続専用のURLをご連絡いたします。
引き続き下記URLより必要事項の入力をお願いいたします。
▽お手続きはこちら
http://login.japametbank.b-jp.space/
※メールを受け取ったお客さま専用のページです。ほかのお客さまはご利用いただけません。
上記URLの有効期限は2021年07月30日 14時04分です。
期限内にお申し込みが完了しなかった場合は、再度メールアドレスのご登録をお願いいたします。
————————————
本メールがご自身宛でない場合、他の方が誤って同じメールアドレスを登録したものと考えられます。
お心当たりのない方は、お手数ですがメール本文を削除くださいますようお願いいたします。
————————————
※本メールへの返信によるご質問にはご回答できません。
====================================
PayPay銀行
https://www.japannetbank.co.jp/
まず、メールの送信元を調べてみます。
|
1 2 |
From: PayPay-Bank <paypaybank-co-jp@y0dwj0q[.]cn> Return-Path: <paypaybank-co-jp@y0dwj0q[.]cn> |
送信者名はPayPay-Bankとなっていますが、送信元メールアドレス、Return-Pathともにpaypaybank-co-jp@y0dwj0q[.]cnとなっており、中国のドメイン名です。
つぎに送信元のサーバーを調べてみます。
|
1 |
Received: from y0dwj0q[.]cn (y0dwj0q[.]cn [113.31.163[.]7]) |
113.31.163.7というIPアドレスが出てきました。
調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
inetnum: 113.31.160.0 - 113.31.191.255 netname: UCLOUD-NET descr: Shanghai UCloud Information Technology Company Limited admin-c: JJ2197-AP tech-c: JJ2197-AP country: CN mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN mnt-routes: MAINT-CNNIC-AP status: ALLOCATED PORTABLE last-modified: 2018-07-23T02:58:02Z source: APNIC |
中国のサーバーのようです。
メール本文中リンクの遷移先についても調べてみましょう。
|
1 |
<A href="http://login.japametbank.b-jp[.]space/">http://login.japametbank.b-jp[.]space/</A> |
http://login.japametbank.b-jp[.]space/が遷移先のようです。
whois情報の範囲だとドメインはアイスランドで取得されているようです。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
Domain Name: B-JP.SPACE Registry Domain ID: D244539572-CNIC Registrar WHOIS Server: whois.namecheap.com Registrar URL: https://namecheap.com Updated Date: 2021-08-02T09:33:02.0Z Creation Date: 2021-08-02T09:32:58.0Z Registry Expiry Date: 2022-08-02T23:59:59.0Z Registrar: Namecheap Registrar IANA ID: 1068 Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registrant Organization: Privacy service provided by Withheld for Privacy ehf Registrant State/Province: Capital Region Registrant Country: IS Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Name Server: DNS1.REGISTRAR-SERVERS.COM Name Server: DNS2.REGISTRAR-SERVERS.COM DNSSEC: unsigned |
IPアドレスは108.166.209[.]66、MULTACOMですね。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
NetRange: 108.166.192.0 - 108.166.223.255 CIDR: 108.166.192.0/19 NetName: MULTA-NET11 NetHandle: NET-108-166-192-0-1 Parent: NET108 (NET-108-0-0-0-0) NetType: Direct Allocation OriginAS: AS35916 Organization: MULTACOM CORPORATION (MULTA) RegDate: 2012-01-26 Updated: 2012-01-26 Ref: https://rdap.arin.net/registry/ip/108.166.192.0 OrgName: MULTACOM CORPORATION OrgId: MULTA Address: 16654 Soledad Canyon Rd #150 City: Canyon Country StateProv: CA PostalCode: 91387 Country: US RegDate: 2005-03-23 Updated: 2017-01-28 Ref: https://rdap.arin.net/registry/entity/MULTA |
安全を担保したうえで実際にアクセスしてみます。
すると、
このようにPayPay銀行の偽サイトが運用されていることが分かります。
メールこそ中国ドメインでしたが、ドメインはアイスランド、サーバーは米国と中国色が薄く感じられるかもしれません。
しかしながらこの偽サイトのフォーム部分のソースをチェックすると、
|
1 |
<form action="https://japanetbcnk.kgkyhz[.]rest/" |
formで入力した内容を上記の場所に飛ばす設定 となっています。
このドメインでDNSサーバーをチェックしてみると、軒並み中国IPが現れます。
同一のグループによるとみられるフィッシング詐欺サイト群
なお、同一のグループによるとみられるフィッシング詐欺サイトは以下の通りです。
1件だけamazonのフィッシング詐欺サイトを初期に運用していますが、以降はサブドメインを使ったPayPay銀行のフィッシング詐欺サイトをドメインを変えつつ同じパターンで繰り返しています。
b-jp[.]space
login[.]japametbank[.]b-jp[.]space
jp-k[.]club
login[.]japametbank[.]jp-k[.]club
jp-up[.]top
japametbank[.]jp-up[.]top
login[.]japametbank[.]jp-up[.]top
jp-z[.]club
japametbank[.]jp-z[.]club
login[.]japametbank[.]jp-z[.]club
jp-z[.]top
japametbank[.]jp-z[.]top
login[.]japametbank[.]jp-z[.]top
nm-jp[.]us
amazo[.]n-jp[.]club
amazon[.]nm-jp[.]us
※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールはフィッシング詐欺
※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールはフィッシング詐欺です。
くれぐれもアカウント情報や個人情報を入力することがないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:PayPay銀行,スパムメール,フィッシング詐欺
関連記事
人気記事
