【重要】au PAY からの緊急の連絡 [メールコード AU20]というメールがフィッシング詐欺か検証する
公開日:
【重要】au PAY からの緊急の連絡 [メールコード AU20]というメールがフィッシング詐欺か検証します。
文面は以下の通り。
【au PAY】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
■ご利用確認はこちら
ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。
━━━━━━━━━━━━━━━
■発行者■
KDDI株式会社
〒102-8460 東京都千代田区飯田橋3丁目10−10 ガーデンエアタワー
──────────────────────────────────
COPYRIGHT © KDDI CORPORATION, ALL RIGHTS RESERVED.
無断転載および再配布を禁じます。
まずはメールの送信元を調べてみます。
1 2 |
From: au PAY <info@au.com> Return-Path: <rw@au.com> |
メールの送信者名はau PAY、送信元メールアドレスはinfo@au.com、Return-Pathはrw@au.comとなっており、auからのものに見えます。
そこで送信元サーバーを調べてみます。
1 |
Received: from au.com (unknown [180.76.113.139]) |
180.76.113.139というIPアドレスが出てきました。
このIPアドレスを調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
inetnum: 180.76.0.0 - 180.76.255.255 netname: Baidu descr: Beijing Baidu Netcom Science and Technology Co., Ltd. descr: Baidu Plaza, No.10, Shangdi 10th street, descr: Haidian District Beijing,100080 country: CN admin-c: ZYK12-AP tech-c: ZYK12-AP abuse-c: AC1601-AP status: ALLOCATED PORTABLE mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-routes: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN last-modified: 2021-06-16T01:32:42Z source: APNIC |
このサーバーは中国のサーバーだと分かります。
一気に怪しくなったので、実際のメールにあるリンク先についても調べてみます。
デコードすると、
1 |
<a href="https://www.acceouu-aasmsnereosammn.npzvcv[.]top/"> |
となっており、リンクの遷移先はhttps://www.acceouu-aasmsnereosammn.npzvcv[.]top/ だと分かりました。
明らかにauのURLではありません。
acceouu-aasmsnereosammn.npzvcv[.]top は、npzvcv[.]top のサブドメインですので、npzvcv[.]top を調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
Domain Name: npzvcv.top Registry Domain ID: D20211022G10001G_70736328-top Registrar WHOIS Server: whois.hichina.com/ Registrar URL: http://www.net.cn Updated Date: 2022-05-07T15:41:30Z Creation Date: 2021-10-22T12:19:01Z Registry Expiry Date: 2022-10-22T12:19:01Z Registrar: Alibaba Cloud Computing Ltd. d/b/a HiChina (www.net.cn) Registrar IANA ID: 1599 Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number Domain Status: ok https://icann.org/epp#OK Registry Registrant ID: REDACTED FOR PRIVACY Registrant Name: REDACTED FOR PRIVACY Registrant Organization: hang zhou shi shang su du ke ji you xian gong si Registrant Street: REDACTED FOR PRIVACY Registrant City: REDACTED FOR PRIVACY Registrant State/Province: zhe jiang Registrant Postal Code: REDACTED FOR PRIVACY Registrant Country: CN Registrant Phone: REDACTED FOR PRIVACY Registrant Phone Ext: REDACTED FOR PRIVACY Registrant Fax: REDACTED FOR PRIVACY Registrant Fax Ext: REDACTED FOR PRIVACY Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. |
このドメインの取得も中国のようです。
サーバーのIPアドレスは157.245.147[.]161でした。
これはシンガポールのIPアドレスです。
せっかくなので、安全を担保したうえで実際にアクセスしてみます。
すると、
このように、auの偽サイトが運用されていました。
【重要】au PAY からの緊急の連絡 [メールコード AU20]というメールはフィッシング詐欺
【重要】au PAY からの緊急の連絡 [メールコード AU20]というメールはフィッシング詐欺です。
このメールは送信元メールアドレスでauを偽装しており、一見分かりにくいものになっていますが、実態は中国のサーバーから送信されており、リンクの遷移先はシンガポールのサーバーで、そこではauの偽のフィッシング詐欺サイトが運用されています。
くれぐれも個人情報やアカウント情報を入力しないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:au,au PAY,スパムメール,フィッシング詐欺