【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証する
公開日:
【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証します。
与信失敗により、モバイルsuicaの更新手続きが完了できませんでした、失効を防ぐため、以下URLより現在のお支払い情報をご確認のうえ、更新をお願いします、といった内容です。
メール本文は以下の通り。
この度は、モバイルsuicaをご利用いただきましてありがとうございます。
——————————————————————————
【重要】お支払い情報の更新をお願いします。
——————————————————————————
与信失敗により、モバイルsuicaの更新手続きが完了できませんでした。
失効を防ぐため、以下URLより現在のお支払い情報をご確認のうえ、
更新をお願いします。
▼ お支払い情報の確認/設定はこちら▼
https://www.mobilesuica[.]com/index.aspx
※このURLの有効期間は手続き受付時より24時間です。
(有効期限 2022/10/18 17:41:08)
—————————————-
お問い合わせ先
モバイルsuicaサポートセンター
TEL 050-2016-5000
受付時間 8時00分~22時00分
「モバイルsuica」
サイト運営·管理
JR東日本ネットステーション
—————————————-
このメールは「モバイルsuica」より自動配信されています。
返信いただきましても対応致しかねますので、あらかじめご了承ください。
お心当たりのない方は、誠に恐れ入りますがこのメールの削除をお願いいたします。
ご不明な点のある方は、モバイルsuicaサポートセンターまでご連絡ください。
まずは送信元を確認してみます。
1 2 |
From: Mobile Suica <support@mobsuica[.]com> Return-Path: <support@mobsuica[.]com> |
送信者名は「Mobile Suica」という名前になっており、送信元メールアドレス・Return-Pathは共にmobsuica[.]comとなっています。
このドメインのwhois情報を知らべてみましたが、ドメイン自体が存在しないのか、見つかりませんでした。
送信元のサーバーを調べてみます。
1 |
Received: by 118-27-33[-]132.localdomain (Postfix, from userid 48) |
118.27.33[.]132というIPアドレスが出てきました。
このIPについて調べてみると、日本のサーバーでしたが、スパムメール配信元のデータベースとしてリストに登録されているものでした。
次にメール本文中にあるリンクの遷移先について調べてみます。
本文のリンク先は、https://www.mobilesuica[.]com/index.aspxと書かれていますが、メールのソースを確認すると実際の遷移先は異なります。
1 2 |
<a rel="nofollow noopener noreferrer" target="_blank" href="http://www.ber34dgfg.mefound[.]com">https://www.mobilesuica[.]com/index.aspx</a> |
実際の遷移先は、http://www.ber34dgfg.mefound[.]comです。
このドメインmefound[.]comのwhois情報を調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 |
<span style="font-size: 12.8px;"><span style="font-size: 12.8px;">Domain Name: MEFOUND[.]COM Registry Domain ID: 51827905_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.publicdomainregistry.com Registrar URL: www.publicdomainregistry.com Updated Date: 2021-11-10T08:01:44Z Creation Date: 2001-01-14T18:51:22Z Registrar Registration Expiration Date: 2023-01-14T18:51:22Z Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com Registrar IANA ID: 303 Domain Status: OK https://icann.org/epp#OK Registry Registrant ID: Not Available From Registry Registrant Name: changeip operations Registrant Organization: changeip.com Registrant Street: 1200 brickell ave Registrant City: miami Registrant State/Province: florida Registrant Postal Code: 33131 Registrant Country: US Registrant Phone: removed phone number Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: removed email address Registry Admin ID: Not Available From Registry Admin Name: changeip operations Admin Organization: changeip.com Admin Street: 1200 brickell ave Admin City: miami Admin State/Province: florida Admin Postal Code: 33131 Admin Country: US Admin Phone: removed phone number Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: removed email address Registry Tech ID: Not Available From Registry Tech Name: changeip operations Tech Organization: changeip.com Tech Street: 1200 brickell ave Tech City: miami Tech State/Province: florida Tech Postal Code: 33131 Tech Country: US Tech Phone: removed phone number Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email: removed email address Name Server: ns1.changeip.com Name Server: ns2.changeip.com Name Server: ns3.changeip.com Name Server: ns4.changeip.com Name Server: ns5.changeip.com DNSSEC: Unsigned Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2022-08-03T03:35:15Z <<< </span></span> |
米国のサービスを使用して取得されたドメインとなっています。
安全を担保したうえで、このURLにアクセスしてみます。
このように、モバイルスイカのログイン画面をコピーした偽のサイトが運用されていました。
ログインすると、カード情報の入力を求められます。
IPアドレスは209.141.61[.]3です。
このIPアドレスはFranTech Solutionsという会社のものですが、この会社は防弾ホスティングと呼ばれるホスティングサービスで有名な会社です。
防弾ホスティングについては、こちらの記事をご覧ください。
また、このサイトを分析すると、Think PHPという中国のPHPフレームワークを利用して作られていることがわかりました。
【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールはフィッシング詐欺
【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールはフィッシング詐欺です。
このメールは日本のサーバーから送信されていますが、スパムメールとして報告のされているIPから送信されています。
またリンクの遷移先はJR東日本・モバイルスイカの公式のものではなく、米国の防弾ホスティングサービスで運用されているものでした。
また、メールからログインページへのリンク先は、公式のサイトと見せかけて、偽のページへ誘導しています。
このようなメールの遷移先のサイトを訪問しないようにしてください。
また、くれぐれもアカウント情報や個人情報、クレジットカード情報などを入力しないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,モバイルSuica,モバイルスイカ