イオンクレジットサービス(株)からのメール というメールがフィッシング詐欺か検証する
「いちご一会とちぎ国体」のライブ配信を騙るYouTubeチャンネルが出現、遷移先の動画サイトについて検証する
auPAYカード本人確認を完了してください。というメールがフィッシング詐欺か検証する
公開日:
auPAYカード本人確認を完了してください。というメールがフィッシング詐欺か検証します。
au PAY カード会員サイトでは、セキュリティ保護の観点から緊急の措置として、アカウントメンテナンスに取り組んでいます。
24時間以内に本人確認を完了してください。
メール本文は以下の通り。
いつもご利用いただきありがとうございます
・au PAY カード会員サイトでは、セキュリティ保護の観点から緊急の措置として、アカウントメンテナンスに取り組んでいます。
※「24時間以内」に下記のU R Lより本人確認を完了してください。
au PAY
■ご利用確認はこちら
注意事項(必読)
・確認がお済みでない場合、サービスのご利用を停止させていただきますので、ご了承ください。
・お客様にはご不便、ご面倒をお掛けすることもあるかと存じますが、
・何卒ご理解いただきますようお願い申し上げます。
COPYRIGHT ©KDDI CORPORATION ALL RIGHTS RESERVED
まずは送信元を確認してみます。
|
1 2 3 |
Sender: accountp-update-account@yopage[.]cn From: "auto" <auto@connect.auone[.]jp> Return-Path: <accountp-update-account@yopage[.]cn> |
送信者名はautoとなっていますが、senderとReturn-Pathはyopage[.]cnというドメインのアカウントになっています。
このドメインのwhois情報を知らべてみると、
|
1 2 3 4 5 6 7 8 9 10 11 |
Domain Name: yopage[.]cn ROID: 20211209s10001s42138714-cn Domain Status: ok Registrant: 尤道轩 Registrant Contact Email: removed email address Sponsoring Registrar: 广州云讯信息科技有限公司 Name Server: jm1.dns.com Name Server: jm2.dns.com Registration Time: 2021-12-09 00:19:06 Expiration Time: 2022-12-09 00:19:06 DNSSEC: unsigned |
となっており、中国のドメインサービスで管理されているドメインのようです。
送信元のサーバーも調べてみます。
|
1 |
Received: from lVi.baidu[.]com (unknown [111.224.78[.]118]) |
111.224.78[.]118というIPアドレスが出てきました。
このIPについて調べてみると、中国、北京にあるサーバーのようです。
次にメール本文中にあるリンクの遷移先について調べてみます。
メール本文をbase64でデコードしてソースを表示すると、
|
1 2 |
<span style="font-size: 12.8px;"><A href="http://connecct-login.shipwithmytnt[.]com">■ご利用確認はこちら</A> </span> |
となっており、http://connecct-login.shipwithmytnt[.]comが遷移先であることが分かります。
このドメインはshipwithmytnt[.]comのサブドメインですので、shipwithmytnt[.]comのwhois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 |
Domain Name: shipwithmytnt[.]com Registry Domain ID: 2650124580_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.paycenter.com.cn Registrar URL: http://www.xinnet.com Updated Date: 2022-10-05T13:34:06Z Creation Date: 2021-10-25T11:47:08Z Registrar Registration Expiration Date: 2022-10-25T11:47:08Z Registrar: Xin Net Technology Corporation Registrar IANA ID: 120 Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number Reseller: Domain Status: ok https://www.icann.org/epp#ok Registry Registrant ID: REDACTED FOR PRIVACY Registrant Name: REDACTED FOR PRIVACY Registrant Organization: REDACTED FOR PRIVACY Registrant Street: REDACTED FOR PRIVACY Registrant City: REDACTED FOR PRIVACY Registrant State/Province: BJ Registrant Postal Code: REDACTED FOR PRIVACY Registrant Country: CN Registrant Phone: REDACTED FOR PRIVACY Registrant Phone Ext: REDACTED FOR PRIVACY Registrant Fax: REDACTED FOR PRIVACY Registrant Fax Ext: REDACTED FOR PRIVACY Registrant Email: link at http://whois.xinnet.com/sendemail/shipwithmytnt.com Registry Admin ID: REDACTED FOR PRIVACY Admin Name: REDACTED FOR PRIVACY Admin Organization: REDACTED FOR PRIVACY Admin Street: REDACTED FOR PRIVACY Admin City: REDACTED FOR PRIVACY Admin State/Province: REDACTED FOR PRIVACY Admin PostalCode: REDACTED FOR PRIVACY Admin Country: REDACTED FOR PRIVACY Admin Phone: REDACTED FOR PRIVACY Admin Phone Ext: REDACTED FOR PRIVACY Admin Fax: REDACTED FOR PRIVACY Admin Fax Ext: REDACTED FOR PRIVACY Admin Email: link at http://whois.xinnet.com/sendemail/shipwithmytnt.com Registry Tech ID: REDACTED FOR PRIVACY Tech Name: REDACTED FOR PRIVACY Tech Organization: REDACTED FOR PRIVACY Tech Street: REDACTED FOR PRIVACY Tech City: REDACTED FOR PRIVACY Tech State/Province: REDACTED FOR PRIVACY Tech PostalCode: REDACTED FOR PRIVACY Tech Country: REDACTED FOR PRIVACY Tech Phone: REDACTED FOR PRIVACY Tech Phone Ext: REDACTED FOR PRIVACY Tech Fax: REDACTED FOR PRIVACY Tech Fax Ext: REDACTED FOR PRIVACY Tech Email: link at http://whois.xinnet.com/sendemail/shipwithmytnt.com Name Server: jm1.dns.com Name Server: jm2.dns.com DNSSEC: unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2022-10-06T02:45:39Z <<< |
レジストラはxinnet[.]comという中国のドメインサービス・ホスティングサービスの会社です。
安全を担保したうえで、このURLにアクセスしてみます。
すると、
このように、auIDのログイン画面をコピーした偽のサイトが運用されていました。
このように、指示に従って入力を進めると、4桁の暗証番号入力を求められます。
IPアドレスは155.94.128[.]182です。
IPアドレスはQUADRANETという米国のホスティングサービス会社のものでした。
auPAYカード本人確認を完了してください。というメールはフィッシング詐欺
auPAYカード本人確認を完了してください。というメールはフィッシング詐欺です。
このメールは中国で取得されたドメインのアカウントで中国のサーバーから送信されています。
またリンクの遷移先は米国のホスティングサービスで運用されている、auIDログイン画面を模した偽のサイトです。
くれぐれもアカウント情報や個人情報、クレジットカード情報などを入力しないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:au,au PAY,auID,UQ mobile,スパムメール,フィッシング詐欺
関連記事
人気記事
