猛威を振るうEmotet(エモテット)、ライオン、クラシエなど被害企業多数
愛知県PCR検査システムがランサムウェア(身代金要求型ウイルス)に感染、PCR検査は代替措置で継続実施
【重要】マスターカード からの緊急の連絡というメールがフィッシング詐欺か検証する
公開日:
【重要】マスターカード からの緊急の連絡というメールがフィッシング詐欺か検証します。
カードの利用を一時制限したというもので、本文は以下の通り。
【Mastercard】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
■ご利用確認はこちら
ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。
──────────────────────────────────
■発行者■
マスターカード・ジャパン 株式会社
東京都渋谷区桜丘町26番1号セルリアンタワー16階
──────────────────────────────────
© 1994-2022 Mastercard.
無断転載および再配布を禁じます。
まずはメールの送信元を調べてみます。
|
1 2 |
From: Mastercard <info@mastercard.co.jp> Return-Path: <dmfofo@mastercard.co.jp> |
送信者名はMastercard(マスターカード)となっています。
また送信元メールアドレスやReturn-Pathも mastercard.co.jp のドメインになっています。
送信元サーバーも調べてみましょう。
|
1 |
Received: from mastercard.co.jp (unknown [116.85.25[.]33]) |
116.85.25[.]33というIPアドレスが出てきました。
このIPアドレスを調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
inetnum: 116.85.0.0 - 116.85.255.255 netname: XJKJ descr: Beijing Xiaoju Technology Co., Ltd descr: Beiqu 2, Floor 5, Building 1, No 9 Shangdi East Road descr: Haidian District, Beijing, China country: CN admin-c: ZM1669-AP tech-c: ZM1669-AP abuse-c: AC1601-AP status: ALLOCATED PORTABLE mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN last-modified: 2021-06-16T01:27:22Z source: APNIC irt: IRT-CNNIC-CN address: Beijing, China e-mail: removed email address abuse-mailbox: removed email address admin-c: IP50-AP tech-c: IP50-AP auth: # Filtered remarks: Please note that CNNIC is not an ISP and is not remarks: empowered to investigate complaints of network abuse. remarks: Please contact the tech-c or admin-c of the network. mnt-by: MAINT-CNNIC-AP last-modified: 2021-06-16T01:39:57Z source: APNIC |
となっており、中国北京のサーバーからこのメールが発信されているようです。
次に、リンクの遷移先についても調べてみます。
メールをデコードしてみると、
|
1 |
<a href="https://www.ao.micoaecod[.]com/"> |
ao.micoaecod[.]comはmicoaecod[.]comのサブドメインです。
このドメインを調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
Domain Name: MICOAECOD[.]COM Registry Domain ID: 2674105791_DOMAIN_COM-VRSN Registrar WHOIS Server: grs-whois.aliyun.com Registrar URL: http://www.alibabacloud.com Updated Date: 2022-02-09T19:40:08Z Creation Date: 2022-02-09T19:40:08Z Registry Expiry Date: 2023-02-09T19:40:08Z Registrar: ALIBABA.COM SINGAPORE E-COMMERCE PRIVATE LIMITED Registrar IANA ID: 3775 Registrar Abuse Contact Email: email@service.aliyun.com Registrar Abuse Contact Phone: +86.95187 Domain Status: ok https://icann.org/epp#ok Name Server: NS7.ALIDNS.COM Name Server: NS8.ALIDNS.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ |
アリババクラウドという文字が見えます。
中国のクラウドサービス提供事業者で登録しているようです。
メール本文中のフォントも興味深いものです。
|
1 |
FONT-FAMILY: 'Microsoft YaHei UI'; |
Microsoft YaHei UIは、Windowsに搭載されている簡体字中国語フォントです。
さて、安全を確保したうえで実際にこの誘導先にアクセスしてみます。
すると、
このように偽のMastercard(マスターカード)の個人情報入力ページが運用されていました。
ソースを見てみると、
|
1 |
<!-- saved from url=(0061)https://branch.nicos.co[.]jp/service?_TRANID=XBP3PN01010010_04M --> |
というコメントがあります。
これは、コピー元となったページのURLを表しています。
下の画像はそのコピー元ページです。
本来は「ID・パスワードを忘れた方(IDを失効された方)」というページなのですが、「ご本人確認のための情報入力」と改変されています。
また振込口座に関する入力欄も消されています。
さて、この偽サイトのIPアドレスは192.227.228[.]11です。
このIPを調べてみると、米国のColoCrossingというホスティング会社のものであることが分かります。
フィッシング詐欺サイトを探しているとよく見かけるホスティング会社ですね。
【重要】マスターカード からの緊急の連絡というメールはフィッシング詐欺
【重要】マスターカード からの緊急の連絡というメールはフィッシング詐欺です。
このメールは中国で取得され、中国北京のサーバーから送信されています。
リンクの誘導先にはコピー・改変された偽の個人情報・カード情報の入力ページがあります。
くれぐれも、個人情報やクレジットカード情報を入力しないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:Mastercard,スパムメール,フィッシング詐欺,マスターカード
関連記事
人気記事
