【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証する


公開日:

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証します。

与信失敗により、モバイルsuicaの更新手続きが完了できませんでした、失効を防ぐため、以下URLより現在のお支払い情報をご確認のうえ、更新をお願いします、といった内容です。

メール本文は以下の通り。

この度は、モバイルsuicaをご利用いただきましてありがとうございます。

——————————————————————————

【重要】お支払い情報の更新をお願いします。

——————————————————————————

与信失敗により、モバイルsuicaの更新手続きが完了できませんでした。

失効を防ぐため、以下URLより現在のお支払い情報をご確認のうえ、

更新をお願いします。

▼ お支払い情報の確認/設定はこちら▼

https://www.mobilesuica[.]com/index.aspx

※このURLの有効期間は手続き受付時より24時間です。

(有効期限 2022/10/18 17:41:08) 

—————————————-

お問い合わせ先

モバイルsuicaサポートセンター

TEL 050-2016-5000

受付時間 8時00分~22時00分

「モバイルsuica」

サイト運営·管理

JR東日本ネットステーション

—————————————-

このメールは「モバイルsuica」より自動配信されています。

返信いただきましても対応致しかねますので、あらかじめご了承ください。

お心当たりのない方は、誠に恐れ入りますがこのメールの削除をお願いいたします。

ご不明な点のある方は、モバイルsuicaサポートセンターまでご連絡ください。

まずは送信元を確認してみます。

送信者名は「Mobile Suica」という名前になっており、送信元メールアドレス・Return-Pathは共にmobsuica[.]comとなっています。

このドメインのwhois情報を知らべてみましたが、ドメイン自体が存在しないのか、見つかりませんでした。

送信元のサーバーを調べてみます。

118.27.33[.]132というIPアドレスが出てきました。

このIPについて調べてみると、日本のサーバーでしたが、スパムメール配信元のデータベースとしてリストに登録されているものでした。

次にメール本文中にあるリンクの遷移先について調べてみます。

本文のリンク先は、https://www.mobilesuica[.]com/index.aspxと書かれていますが、メールのソースを確認すると実際の遷移先は異なります。

 実際の遷移先は、http://www.ber34dgfg.mefound[.]comです。

このドメインmefound[.]comのwhois情報を調べてみると、

米国のサービスを使用して取得されたドメインとなっています。

安全を担保したうえで、このURLにアクセスしてみます。

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証する・遷移先画面その1

このように、モバイルスイカのログイン画面をコピーした偽のサイトが運用されていました。

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールがフィッシング詐欺か検証する・遷移先画面その2

ログインすると、カード情報の入力を求められます。

IPアドレスは209.141.61[.]3です。

このIPアドレスはFranTech Solutionsという会社のものですが、この会社は防弾ホスティングと呼ばれるホスティングサービスで有名な会社です。

防弾ホスティングについては、こちらの記事をご覧ください。

防弾ホスティングとは?防弾ホスティングサービスの仕組み

また、このサイトを分析すると、Think PHPという中国のPHPフレームワークを利用して作られていることがわかりました。

【重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールはフィッシング詐欺

重要】「モバイルSuica」(JR東日本)ご利用の会員IDとサービスについて、というメールはフィッシング詐欺です。

このメールは日本のサーバーから送信されていますが、スパムメールとして報告のされているIPから送信されています。

またリンクの遷移先はJR東日本・モバイルスイカの公式のものではなく、米国の防弾ホスティングサービスで運用されているものでした。

また、メールからログインページへのリンク先は、公式のサイトと見せかけて、偽のページへ誘導しています。

このようなメールの遷移先のサイトを訪問しないようにしてください。

また、くれぐれもアカウント情報や個人情報、クレジットカード情報などを入力しないようご注意ください。

関連記事



カテゴリ:
タグ:,,,



関連記事