マルウェアEmotet(エモテット)の感染被害なおも広がる、HIS、オリオンツアー、旬刊旅行新聞など旅行業界
森永製菓、サーバーへの不正アクセス被害によりシステム障害が発生
ビューカードから緊急のご連絡というメールがフィッシング詐欺か検証する
公開日:
ビューカードから緊急のご連絡というメールがフィッシング詐欺か検証します。
ビューカードが不正利用された可能性が高いとして、至急の確認のためリンクをクリックして確認して欲しいという内容です。
メール本文は以下の通り。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【重要】ビューカードから緊急のご連絡
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
日頃より楽ビューカードのクレジットカードをご愛顧賜り誠にありがとうございます。
ビューカードでは、会員皆さまのカードご利用内容について、
第三者による不正利用が発生していないかどうかのモニタリングを行っております。
本メールは、現在お客様がお持ちのクレジットカードのご利用内容について、
第三者により不正利用された可能性が高いと、弊社の不正利用検知システムにより
判断いたしましたので、緊急でお送りさせていただいております。
カードのご利用内容について、至急確認したいことがございますので、
下記リンクをアクセスし、ご確認をいただきますようお願いいたします。
https://viewsnet.jp.ywqpv[.]com
なお、ご契約のカードは、第三者による不正使用の可能性が高いため、
既にカードのご利用を一旦停止する対応をとらせていただいております。
ご不便とご心配をお掛けしますが、何とぞご理解をいただきますようお願い申し上げます。
============================================
株式会社ビューカード
■電話番号 : 092-303-5421 (受付時間:日本時間9:00 – 21:00)
※海外からの連絡の場合、
81(国コード)-92-303-5421
※海外からコレクトコールでの連絡の場合、
渡航先でのコレクトコール受付電話番号にご連絡いただいた後、
81(国コード)-92-474-2338
をお伝えください。
============================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
■電話でのご連絡より先に、メールが届く場合がございます。
■誠に勝手ながらこのお知らせメールの配信停止はいたしかねます。
あらかじめご了承ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
発行元 株式会社ビューカード https://www.jreast.co.jp/card/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
まずはメールヘッダーから送信元を調べてみます。
|
1 2 |
From: viewcard <viewcard@mail.viewsnet.jp> Return-Path: <yitywc@mail.viewsnet.jp> |
送信者名はviewcardとなっており、送信元メールアドレス、Return-Pathともにviewsnet.jpとJR東日本の正規のドメインのメールアドレスが指定されています。
そこで、送信元サーバーも調べてみます。
|
1 |
Received: from mail.viewsnet.jp (unknown [164.70.85[.]85]) |
164.70.85[.]85というIPアドレスが出てきました。
これはNTTPCコミュニケーションズのホスティングサービスのIPアドレスです。
つまりこのメールは国内のサーバーから発信されています。
文字コードも、
|
1 |
Content-Type: text/plain; charset="iso-2022-jp" |
と日本語の文字コードになっています。
ではこのメールは正規のメールなのでしょうか。
もう少し踏み込んで、メール本文中のリンクの遷移先について調べてみます。
ソースを見てみると
|
1 |
<a href="https://viewsnet.jp.ywqpv[.]com"><font size=2 face="Times New Roman">https://viewsnet.jp.ywqpv[.]com</font></a> |
となっており、https://viewsnet.jp.ywqpv[.]com がリンク先であると分かります。
viewsnet.jp.ywqpv[.]com は ywqpv[.]com のサブドメインです。
ywqpv[.]com のwhois情報を見てみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
Domain Name: ywqpv.com Registry Domain ID: 2602049603_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.psi-usa.info Registrar URL: https://www.psi-usa.info Updated Date: 2022-03-15T12:18:34Z Creation Date: 2021-04-01T06:22:01Z Registrar Registration Expiration Date: 2022-04-01T06:22:02Z Registrar: PSI-USA, Inc. dba Domain Robot Registrar IANA ID: 151 Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited Registry Registrant ID: Registrant Name: Admin Contact Registrant Organization: PrivateName Services Inc. Registrant Street: 1100-1200 West 73rd Avenue Registrant City: Vancouver Registrant State/Province: BC Registrant Postal Code: V6P 6G5 Registrant Country: CA Registrant Phone: removed phone number Registrant Phone Ext: Registrant Fax: removed phone number Registrant Fax Ext: Registrant Email: removed email address |
登録はカナダ、プライバシーサービスで登録者名などが保護されていることが分かります。
またdnsサーバーを調べてみると、中国のDNSサーバーが出てきました。
こうなると当然ビューカードとは関係がなさそうだと分かってきます。
せっかくなので、安全を担保して実際にアクセスしてみます。
すると、https://viewsnet-login[.]com にリダイレクトされ、
このようにビューカードの偽のwebサイトが運用されていました。
使用されているドメイン、viewsnet-login[.]comのwhois情報を見てみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
Domain name: viewsnet-login.com Registry Domain ID:77755585_DOMAIN_-VRSN Registrar WHOIS Server: whois.cnolnic.com Registrar URL: http://www.zzy.cn Updated Date: 2022-03-17 10:41:38.0T00:00:00Z Creation Date: 2022-03-17 10:41:37.0T00:00:00Z Registrar Registration Expiration Date: 2023-03-17 10:41:37.0T00:00:00Z Registrar: XIAMEN CHINASOURCE INTERNET SERVICE CO., LTD. Registrar IANA ID: 1366 Registrar Abuse Contact Email:kf@zzy.cn Registrar Abuse Contact Phone:+86.5922958888 Domain Status: Ok Name Server: jm1.dns.com Name Server: jm2.dns.com DNSSEC:unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database:2022-03-17 10:41:38.0T00:00:00Z<<< |
となっており、中国のレジストラで登録されていることが分かりました。
また今朝の10:41にアップデートされていることが分かります。
さて、この偽サイトのIPアドレスは、155.94.140[.]225です。
このIPは、米国のQuadraNetというホスティングサービスのものでした。
ビューカードから緊急のご連絡というメールはフィッシング詐欺
ビューカードから緊急のご連絡というメールはフィッシング詐欺です。
このメールは送信者はビューカードとなっており、送信元メールアドレスもReturn-PathもJRの正規のドメインが設定されています。
またメールはきちんと日本語のコードが使われており、送信元のサーバーも国内です。
しかしながらリンクの遷移先はカナダで登録されたドメインでDNSサーバーは中国のものを使っています。
またそのリダイレクト先にあるビューカードのwebサイトは偽サイトであり、中国のレジストラで登録されたドメインで、米国のホスティングサービスを利用しています。
くれぐれも個人情報やクレジットカード情報を入力してしまうことがないよう、ご注意ください。
関連記事
カテゴリ:フィッシング
タグ:スパムメール,ビューカード,フィッシング詐欺
関連記事
人気記事
