【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証する

公開日:2022/10/12

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証します。

与信失敗により、モバイルsuicaの更新手続きが完了できませんでした、失効を防ぐため、以下URLより現在のお支払い情報をご確認のうえ、更新をお願いします、といった内容です。

メール本文は以下の通り。

この度は、モバイルsuicaをご利用いただきましてありがとうございます。

——————————————————————————

【重要】お支払い情報の更新をお願いします。

——————————————————————————

与信失敗により、モバイルsuicaの更新手続きが完了できませんでした。

失効を防ぐため、以下URLより現在のお支払い情報をご確認のうえ、

更新をお願いします。

▼ お支払い情報の確認/設定はこちら▼

https://www.mobilesuica[.]com/index.aspx

※このURLの有効期間は手続き受付時より24時間です。

(有効期限 2022/10/18 17:41:08)

—————————————-

お問い合わせ先

モバイルsuicaサポートセンター

TEL 050-2016-5000

受付時間 8時00分~22時00分

「モバイルsuica」

サイト運営·管理

JR東日本ネットステーション

—————————————-

このメールは「モバイルsuica」より自動配信されています。

返信いただきましても対応致しかねますので、あらかじめご了承ください。

お心当たりのない方は、誠に恐れ入りますがこのメールの削除をお願いいたします。

ご不明な点のある方は、モバイルsuicaサポートセンターまでご連絡ください。

まずは送信元を確認してみます。

From: Mobile Suica <support@mobsuica[.]com>
Return-Path: <support@mobsuica[.]com>

1 2	From: Mobile Suica <support@mobsuica[.]com> Return-Path: <support@mobsuica[.]com>

送信者名は「Mobile Suica」という名前になっており、送信元メールアドレス・Return-Pathは共にmobsuica[.]comとなっています。

このドメインのwhois情報を知らべてみましたが、ドメイン自体が存在しないのか、見つかりませんでした。

送信元のサーバーを調べてみます。

Received: by 118-27-33[-]132.localdomain (Postfix, from userid 48)

1	Received: by 118-27-33[-]132.localdomain (Postfix, from userid 48)

118.27.33[.]132というIPアドレスが出てきました。

このIPについて調べてみると、日本のサーバーでしたが、スパムメール配信元のデータベースとしてリストに登録されているものでした。

次にメール本文中にあるリンクの遷移先について調べてみます。

本文のリンク先は、https://www.mobilesuica[.]com/index.aspxと書かれていますが、メールのソースを確認すると実際の遷移先は異なります。

<a rel="nofollow noopener noreferrer" target="_blank" 
href="http://www.ber34dgfg.mefound[.]com">https://www.mobilesuica[.]com/index.aspx</a>

1 2	<a rel="nofollow noopener noreferrer" target="_blank" href="http://www.ber34dgfg.mefound[.]com">https://www.mobilesuica[.]com/index.aspx</a>

実際の遷移先は、http://www.ber34dgfg.mefound[.]comです。

このドメインmefound[.]comのwhois情報を調べてみると、

<span style="font-size: 12.8px;"><span style="font-size: 12.8px;">Domain Name: MEFOUND[.]COM
Registry Domain ID: 51827905_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.publicdomainregistry.com
Registrar URL: www.publicdomainregistry.com
Updated Date: 2021-11-10T08:01:44Z
Creation Date: 2001-01-14T18:51:22Z
Registrar Registration Expiration Date: 2023-01-14T18:51:22Z
Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com
Registrar IANA ID: 303
Domain Status: OK https://icann.org/epp#OK
Registry Registrant ID: Not Available From Registry
Registrant Name: changeip operations
Registrant Organization: changeip.com
Registrant Street: 1200 brickell ave
Registrant City: miami
Registrant State/Province: florida
Registrant Postal Code: 33131
Registrant Country: US
Registrant Phone: removed phone number
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: removed email address
Registry Admin ID: Not Available From Registry
Admin Name: changeip operations
Admin Organization: changeip.com
Admin Street: 1200 brickell ave
Admin City: miami
Admin State/Province: florida
Admin Postal Code: 33131
Admin Country: US
Admin Phone: removed phone number
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: removed email address
Registry Tech ID: Not Available From Registry
Tech Name: changeip operations
Tech Organization: changeip.com
Tech Street: 1200 brickell ave
Tech City: miami
Tech State/Province: florida
Tech Postal Code: 33131
Tech Country: US
Tech Phone: removed phone number
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: removed email address
Name Server: ns1.changeip.com
Name Server: ns2.changeip.com
Name Server: ns3.changeip.com
Name Server: ns4.changeip.com
Name Server: ns5.changeip.com
DNSSEC: Unsigned
Registrar Abuse Contact Email: removed email address
Registrar Abuse Contact Phone: removed phone number
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2022-08-03T03:35:15Z <<<

</span></span>

<span style="font-size: 12.8px;"><span style="font-size: 12.8px;">Domain Name: MEFOUND[.]COM

Registry Domain ID: 51827905_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.publicdomainregistry.com

Registrar URL: www.publicdomainregistry.com

Updated Date: 2021-11-10T08:01:44Z

Creation Date: 2001-01-14T18:51:22Z

Registrar Registration Expiration Date: 2023-01-14T18:51:22Z

Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com

Registrar IANA ID: 303

Domain Status: OK https://icann.org/epp#OK

Registry Registrant ID: Not Available From Registry

Registrant Name: changeip operations

Registrant Organization: changeip.com

Registrant Street: 1200 brickell ave

Registrant City: miami

Registrant State/Province: florida

Registrant Postal Code: 33131

Registrant Country: US

Registrant Phone: removed phone number

Registrant Phone Ext:

Registrant Fax:

Registrant Fax Ext:

Registrant Email: removed email address

Registry Admin ID: Not Available From Registry

Admin Name: changeip operations

Admin Organization: changeip.com

Admin Street: 1200 brickell ave

Admin City: miami

Admin State/Province: florida

Admin Postal Code: 33131

Admin Country: US

Admin Phone: removed phone number

Admin Phone Ext:

Admin Fax:

Admin Fax Ext:

Admin Email: removed email address

Registry Tech ID: Not Available From Registry

Tech Name: changeip operations

Tech Organization: changeip.com

Tech Street: 1200 brickell ave

Tech City: miami

Tech State/Province: florida

Tech Postal Code: 33131

Tech Country: US

Tech Phone: removed phone number

Tech Phone Ext:

Tech Fax:

Tech Fax Ext:

Tech Email: removed email address

Name Server: ns1.changeip.com

Name Server: ns2.changeip.com

Name Server: ns3.changeip.com

Name Server: ns4.changeip.com

Name Server: ns5.changeip.com

DNSSEC: Unsigned

Registrar Abuse Contact Email: removed email address

Registrar Abuse Contact Phone: removed phone number

URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

>>> Last update of WHOIS database: 2022-08-03T03:35:15Z <<<

</span></span>

米国のサービスを使用して取得されたドメインとなっています。

安全を担保したうえで、このURLにアクセスしてみます。

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証する・遷移先画面その１

このように、モバイルスイカのログイン画面をコピーした偽のサイトが運用されていました。

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証する・遷移先画面その２

ログインすると、カード情報の入力を求められます。

IPアドレスは209.141.61[.]3です。

このIPアドレスはFranTech Solutionsという会社のものですが、この会社は防弾ホスティングと呼ばれるホスティングサービスで有名な会社です。

防弾ホスティングについては、こちらの記事をご覧ください。

防弾ホスティングとは？防弾ホスティングサービスの仕組み

また、このサイトを分析すると、Think PHPという中国のPHPフレームワークを利用して作られていることがわかりました。

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールはフィッシング詐欺

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールはフィッシング詐欺です。

このメールは日本のサーバーから送信されていますが、スパムメールとして報告のされているIPから送信されています。

またリンクの遷移先はJR東日本・モバイルスイカの公式のものではなく、米国の防弾ホスティングサービスで運用されているものでした。

また、メールからログインページへのリンク先は、公式のサイトと見せかけて、偽のページへ誘導しています。

このようなメールの遷移先のサイトを訪問しないようにしてください。

また、くれぐれもアカウント情報や個人情報、クレジットカード情報などを入力しないようご注意ください。

カテゴリ：フィッシング
タグ：スパムメール,フィッシング詐欺,モバイルSuica,モバイルスイカ

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証する

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールはフィッシング詐欺

関連記事

関連記事

人気記事

CCSIのサービス

無料ツール

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証する

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールはフィッシング詐欺

関連記事

関連記事

小田急百貨店新宿店本館の閉店セールを騙るフィッシング詐欺がFacebookで確認される

「Update Your PayPal Billing Infirmation」というPaypalを偽装したフィッシング詐欺メールを検証する

「お客様の Amazon アカウントが一時的に停止されました」というメールがフィッシング詐欺か検証する

「NICOSカード 異常な活動 ? アカウントを保護して下さい。」というメールが詐欺か検証する

「777万円分生活応援キャンペーン」というサイトに誘導する【ETCカード有効期限について】重要なお知らせ：というメールを検証する

人気記事

CCSIのサービス

無料ツール

「NICOSカード異常な活動 ? アカウントを保護して下さい。」というメールが詐欺か検証する