【Orico】カードご利用確認というメールがフィッシング詐欺か調査する
Your card has been suspended !というMUFG(三菱UFJ銀行)を騙るフィッシング詐欺メールを調査する
【重要】UCカード からの緊急の連絡というフィッシング詐欺メールを分析する
公開日:
【重要】UCカード からの緊急の連絡というフィッシング詐欺メールを分析します。
メール本文は以下の通り。
【UCカード】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
■ご利用確認はこちら
ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。
──────────────────────────────────
■発行者■
ユーシーカード株式会社
京都港区台場2丁目3−2 台場フロンティアビル
──────────────────────────────────
©Copyright © UC CARD CO.,LTD. All Rights Reserved.
無断転載および再配布を禁じます。
まずはメール送信元を調べてみます。
|
1 2 |
From: "ucカード" <info@uccard.co[.]jp> Return-Path: <mgiqwezqqd@uccard.co[.]jp> |
送信者名はUCカードとなっていますがUCが小文字です。
送信元メールアドレスとReturn-Pathはそれぞれinfo@uccard.co.jpとmgiqwezqqd@uccard.co.jpで、正規のドメインのように見えます。
そこで送信元サーバーを調べてみます。
|
1 |
Received: from uccard.co.jp (unknown [116.85.9.95]) |
116.85.9.95というIPアドレスが出てきましたが、これを調べてみると中国のサーバーであることが分かります。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
inetnum: 116.85.0.0 - 116.85.255.255 netname: XJKJ descr: Beijing Xiaoju Technology Co., Ltd descr: Beiqu 2, Floor 5, Building 1, No 9 Shangdi East Road descr: Haidian District, Beijing, China country: CN admin-c: ZM1669-AP tech-c: ZM1669-AP abuse-c: AC1601-AP status: ALLOCATED PORTABLE mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN last-modified: 2021-06-16T01:27:22Z source: APNIC |
次にメール本文中リンクの遷移先についても調べてみます。
base64sでデコードしてソースを見ると、
|
1 |
<a href="https://www.uc-acod[.]com/">UCカード</a> |
となっており、似てはいますが綴りの異なるドメインであるhttps://www.uc-acod[.]comが遷移先となっています。
uc-acod[.]comのwhois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
Domain Name: uc-acod.com Registry Domain ID: Registrar WHOIS Server: whois.webnic.cc Registrar URL: webnic.cc Updated Date: 2021-08-11T18:02:51Z Creation Date: 2021-08-11T18:02:52Z Registrar Registration Expiration Date: 2022-08-11T18:02:52Z Registrar: WEBCC Registrar IANA ID: 460 Registrar Abuse Contact Email: compliance_abuse@webnic.cc Registrar Abuse Contact Phone: +60.389966799 Domain Status: ok https://icann.org/epp#ok Registry Registrant ID: Not Available From Registry Registrant Name: Domain Admin Registrant Organization: Whoisprotection.cc Registrant Street: L4-E-2, Level 4, Enterprise 4, Technology Park Malaysia, Bukit Jalil Registrant City: Kuala Lumpur Registrant State/Province: Wilayah Persekutuan Registrant Postal Code: 57000 Registrant Country: Malaysia Registrant Phone: +60.389966788 Registrant Phone Ext: Registrant Fax: +60.389966788 Registrant Fax Ext: Registrant Email: reg_18972954@whoisprotection.cc |
マレーシアの登録になっています。
さて、安全を担保したうえで実際にアクセスしてみます。
すると、
このように偽のUCカードのログイン画面(アットユーネット)がありました。
IPアドレスは155.235.250.219、米国のサーバーが使用されています。
【重要】UCカード からの緊急の連絡というメールはフィッシング詐欺
【重要】UCカード からの緊急の連絡というメールはフィッシング詐欺です。
送信者名はUCカードとなっていますが、実際には中国のサーバーから配信されています。
リンクの誘導先は偽のUCカードログイン画面(アットユーネット)であり、ドメイン登録はマレーシア、サーバーは米国です。
クレジットカード情報やアカウント情報を入力してしまうことがないよう、ご注意ください。
関連記事
カテゴリ:フィッシング
タグ:UCカード,アットユーネット,スパムメール,フィッシング詐欺
関連記事
人気記事
