Your card has been suspended !というMUFG(三菱UFJ銀行)を騙るフィッシング詐欺メールを調査する


公開日:

Your card has been suspended !というMUFG(三菱UFJ銀行)を騙るフィッシング詐欺メールを調査します。

メール本文は以下の通り。

不正なアクティビティが検知されました

平素はmufg.jpをご利用いただき、誠にありがとうございます。

このたび、お客様のアカウントに極めてリスクの高いデバイスまたは場所からお客様のアカウントに対するログインが複数回試みられ、

安全のためお客様のアカウントは現在セキュリティシステムによって一時的に停止されています。

デバイス: Mozilla/5.0 (Linux; Android 10; ANE-LX2J Build/HUAWEIANE-LX2J; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/83.0.4103.106 Mobile

IPアドレス: 109.252.84.190

場所:湯沢、日本

問題を解決するために、パスワードを変更し、できるだけ早く情報を更新してください。

アカウント情報を更新する

お知らせ:

パスワードは誰にも教えないでください。

個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。

オンラインアカウントごとに、異なるパスワードを使用してください。

発行:アマゾンジャパン合同会社

発行:MUFG Bank、Ltd

©️ Mitsubishi UFJ Financial Group, Inc.

まずはメール本文ですが、メール下部を見ると発行:アマゾンジャパン合同会社という行と発行:MUFG Bank、Ltdの二行があるのが分かります。

これはそもそも不正者がミスしているケースです。

メール送信元を調べてみます。

 送信者名はMUFG、送信元メールアドレス、Return-Pathともにsecure@mufg.jpとなっており、一致しています。

送信元サーバーも調べてみます。

 176.112.146.255というIPアドレスが出てきました。

調べてみると、このIPアドレスはエストニアのようです。

 次にメール本文中リンクの遷移先を調べてみます。

これまでbase64でエンコードされているケースばかりでしたが、今回はquoted-printableという形式でエンコードされていますので、この形式でデコードします。

すると、

 http://bidizaynet[.]com/ufj/jp/というURLが誘導先になっていることが分かりました。

さて、このドメインbidizaynet[.]comは見たところどうやらトルコのマグカップデザインの共有サイト?のようで、つまり正規のWebサイトです。

安全を担保したうえでアクセスしてみます。

すると、

このように正規サイトの下層ディレクトリが乗っ取られており、出来は多少不出来ですがカード情報やアカウント情報の入力を促す三菱UFJ銀行の偽のページが運用されていました。

またソースコードを見ると

 という改ざん者のハンドルネーム入りでコメントも残されていました。

この改ざん者は、これまでにも他のwebサイトを改ざんして日本向けのフィッシング詐欺を働いています。

Your card has been suspended !というMUFG(三菱UFJ銀行)を騙るフィッシング詐欺

Your card has been suspended !というMUFG(三菱UFJ銀行)からのメールはフィッシング詐欺メールです。

このメールはエストニアのサーバーから配信されており、トルコのサーバーで運用されている正規のWebサイトを乗っ取る形で三菱UFJ銀行の偽ページを運用しています。

くれぐれもこのサイトにアクセスしないように、またアクセスしてしまった場合にもカード情報やアカウント情報を入力してしまわないようご注意ください。

関連記事



カテゴリ:
タグ:,,,,



関連記事