※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールがフィッシング詐欺か検証する

公開日:2021/8/4

※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールがフィッシング詐欺か検証します。

メール本文は以下の通りです。

本人確認手続専用のURLをご連絡いたします。

引き続き下記URLより必要事項の入力をお願いいたします。

▽お手続きはこちら

http://login.japametbank.b-jp.space/

※メールを受け取ったお客さま専用のページです。ほかのお客さまはご利用いただけません。

上記URLの有効期限は2021年07月30日 14時04分です。

期限内にお申し込みが完了しなかった場合は、再度メールアドレスのご登録をお願いいたします。

————————————

本メールがご自身宛でない場合、他の方が誤って同じメールアドレスを登録したものと考えられます。

お心当たりのない方は、お手数ですがメール本文を削除くださいますようお願いいたします。

————————————

※本メールへの返信によるご質問にはご回答できません。

====================================

PayPay銀行

https://www.japannetbank.co.jp/

まず、メールの送信元を調べてみます。

From: PayPay-Bank <paypaybank-co-jp@y0dwj0q[.]cn>
Return-Path: <paypaybank-co-jp@y0dwj0q[.]cn>

1 2	From: PayPay-Bank <paypaybank-co-jp@y0dwj0q[.]cn> Return-Path: <paypaybank-co-jp@y0dwj0q[.]cn>

送信者名はPayPay-Bankとなっていますが、送信元メールアドレス、Return-Pathともにpaypaybank-co-jp@y0dwj0q[.]cnとなっており、中国のドメイン名です。

つぎに送信元のサーバーを調べてみます。

Received: from y0dwj0q[.]cn (y0dwj0q[.]cn [113.31.163[.]7])

1	Received: from y0dwj0q[.]cn (y0dwj0q[.]cn [113.31.163[.]7])

113.31.163.7というIPアドレスが出てきました。

調べてみると、

inetnum: 113.31.160.0 - 113.31.191.255
netname: UCLOUD-NET
descr: Shanghai UCloud Information Technology Company Limited
admin-c: JJ2197-AP
tech-c: JJ2197-AP
country: CN
mnt-by: MAINT-CNNIC-AP
mnt-lower: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
mnt-routes: MAINT-CNNIC-AP
status: ALLOCATED PORTABLE
last-modified: 2018-07-23T02:58:02Z
source: APNIC

inetnum: 113.31.160.0 - 113.31.191.255

netname: UCLOUD-NET

descr: Shanghai UCloud Information Technology Company Limited

admin-c: JJ2197-AP

tech-c: JJ2197-AP

country: CN

mnt-by: MAINT-CNNIC-AP

mnt-lower: MAINT-CNNIC-AP

mnt-irt: IRT-CNNIC-CN

mnt-routes: MAINT-CNNIC-AP

status: ALLOCATED PORTABLE

last-modified: 2018-07-23T02:58:02Z

source: APNIC

中国のサーバーのようです。

メール本文中リンクの遷移先についても調べてみましょう。

<A href="http://login.japametbank.b-jp[.]space/">http://login.japametbank.b-jp[.]space/</A>

1	<A href="http://login.japametbank.b-jp[.]space/">http://login.japametbank.b-jp[.]space/</A>

http://login.japametbank.b-jp[.]space/が遷移先のようです。

whois情報の範囲だとドメインはアイスランドで取得されているようです。

Domain Name: B-JP.SPACE
Registry Domain ID: D244539572-CNIC
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: https://namecheap.com
Updated Date: 2021-08-02T09:33:02.0Z
Creation Date: 2021-08-02T09:32:58.0Z
Registry Expiry Date: 2022-08-02T23:59:59.0Z
Registrar: Namecheap
Registrar IANA ID: 1068
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant Organization: Privacy service provided by Withheld for Privacy ehf
Registrant State/Province: Capital Region
Registrant Country: IS
Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.
Name Server: DNS1.REGISTRAR-SERVERS.COM
Name Server: DNS2.REGISTRAR-SERVERS.COM
DNSSEC: unsigned

Domain Name: B-JP.SPACE

Registry Domain ID: D244539572-CNIC

Registrar WHOIS Server: whois.namecheap.com

Registrar URL: https://namecheap.com

Updated Date: 2021-08-02T09:33:02.0Z

Creation Date: 2021-08-02T09:32:58.0Z

Registry Expiry Date: 2022-08-02T23:59:59.0Z

Registrar: Namecheap

Registrar IANA ID: 1068

Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited

Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited

Domain Status: addPeriod https://icann.org/epp#addPeriod

Registrant Organization: Privacy service provided by Withheld for Privacy ehf

Registrant State/Province: Capital Region

Registrant Country: IS

Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name.

Name Server: DNS1.REGISTRAR-SERVERS.COM

Name Server: DNS2.REGISTRAR-SERVERS.COM

DNSSEC: unsigned

IPアドレスは108.166.209[.]66、MULTACOMですね。

NetRange: 108.166.192.0 - 108.166.223.255
CIDR: 108.166.192.0/19
NetName: MULTA-NET11
NetHandle: NET-108-166-192-0-1
Parent: NET108 (NET-108-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS35916
Organization: MULTACOM CORPORATION (MULTA)
RegDate: 2012-01-26
Updated: 2012-01-26
Ref: https://rdap.arin.net/registry/ip/108.166.192.0


OrgName: MULTACOM CORPORATION
OrgId: MULTA
Address: 16654 Soledad Canyon Rd #150
City: Canyon Country
StateProv: CA
PostalCode: 91387
Country: US
RegDate: 2005-03-23
Updated: 2017-01-28
Ref: https://rdap.arin.net/registry/entity/MULTA

NetRange: 108.166.192.0 - 108.166.223.255

CIDR: 108.166.192.0/19

NetName: MULTA-NET11

NetHandle: NET-108-166-192-0-1

Parent: NET108 (NET-108-0-0-0-0)

NetType: Direct Allocation

OriginAS: AS35916

Organization: MULTACOM CORPORATION (MULTA)

RegDate: 2012-01-26

Updated: 2012-01-26

Ref: https://rdap.arin.net/registry/ip/108.166.192.0

OrgName: MULTACOM CORPORATION

OrgId: MULTA

Address: 16654 Soledad Canyon Rd #150

City: Canyon Country

StateProv: CA

PostalCode: 91387

Country: US

RegDate: 2005-03-23

Updated: 2017-01-28

Ref: https://rdap.arin.net/registry/entity/MULTA

安全を担保したうえで実際にアクセスしてみます。

すると、

このようにPayPay銀行の偽サイトが運用されていることが分かります。

メールこそ中国ドメインでしたが、ドメインはアイスランド、サーバーは米国と中国色が薄く感じられるかもしれません。

しかしながらこの偽サイトのフォーム部分のソースをチェックすると、

<form action="https://japanetbcnk.kgkyhz[.]rest/"

1	<form action="https://japanetbcnk.kgkyhz[.]rest/"

formで入力した内容を上記の場所に飛ばす設定となっています。

このドメインでDNSサーバーをチェックしてみると、軒並み中国IPが現れます。

同一のグループによるとみられるフィッシング詐欺サイト群

なお、同一のグループによるとみられるフィッシング詐欺サイトは以下の通りです。

1件だけamazonのフィッシング詐欺サイトを初期に運用していますが、以降はサブドメインを使ったPayPay銀行のフィッシング詐欺サイトをドメインを変えつつ同じパターンで繰り返しています。

b-jp[.]space

jp-k[.]club

jp-up[.]top

japametbank[.]jp-up[.]top

jp-z[.]club

japametbank[.]jp-z[.]club

jp-z[.]top

japametbank[.]jp-z[.]top

nm-jp[.]us

amazo[.]n-jp[.]club

amazon[.]nm-jp[.]us

※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールはフィッシング詐欺

※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールはフィッシング詐欺です。

くれぐれもアカウント情報や個人情報を入力することがないようご注意ください。

カテゴリ：フィッシング
タグ：PayPay銀行,スパムメール,フィッシング詐欺

※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールがフィッシング詐欺か検証する

同一のグループによるとみられるフィッシング詐欺サイト群

※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールはフィッシング詐欺

関連記事

関連記事

人気記事

CCSIのサービス

無料ツール

※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールがフィッシング詐欺か検証する

同一のグループによるとみられるフィッシング詐欺サイト群

※このメールはPayPay銀行の口座に不審アクセスが発見された方に自動配信しております。というメールはフィッシング詐欺

関連記事

関連記事

【楽天市場】より会員個人情報を更新できませんでした（自動配信メール）というメールがフィッシング詐欺か検証する

「【MyJCB】お支払い方法を更新してください（自動配信メール）」というメールがフィッシング詐欺か検証

amazon.co.jp アクションが必要です サインインというメールがフィッシング詐欺か検証する

COVID-19 Solidarity Response Fund for WHO – DONATE NOWというWHOを騙る寄付依頼メールの分析

「メールレポート：別のブラウザから新しいログインが検出されました。 2020年4月11日土曜日」のメールは詐欺なのか

人気記事

CCSIのサービス

無料ツール

amazon.co.jp アクションが必要ですサインインというメールがフィッシング詐欺か検証する