Fw: 【bitbank[.]cc】お知らせ、というメールがフィッシング詐欺かを検証する
公開日:
Fw: 【bitbank[.]cc】お知らせ というメールがフィッシング詐欺か検証します。
仮想通貨の取引所であるビットバンクを送信元とし、ビットバンク アカウント情報の確認を促すメールです。
この確認は義務付けられており、確認をしないとアカウントを停止する可能性がある、と追記されています。
メール本文は以下の通り。
お客様各位,
最近行われましたプライバシーポリシーの改定に伴いまして、お客様の ビットバンク アカウント情報のご確認をお願い致したく、よろしくお願い申し上げます。
ご確認のお手続きは、一回限りで、数分で終了致します。
お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がございます。
続けるにはこちらをクリック
この確認は義務付けられており、確認していただけない場合は、アカウントが停止される場合もあります。
お客様のセキュリティは弊社にとって非常に重要なものでございます。ご理解の程、よろしくお願い申し上げます。
敬具,
ビットバンク
まずは送信元を調べてみます。
1 2 |
From: "bitbank, Inc." <2281608092897964011@improvesoft.com[.]ar> Return-Path: 2281608092897964011@improvesoft.com[.]ar |
送信者名はbitbank, Inc.となっており、送信元・Return-Pathともに同じアドレスからで、improvesoft.com[.]arというドメインからです。
このドメインは、アルゼンチンの企業に紐づいたものですが、whois情報の詳細が出ていません。
そこで送信元サーバーを調べてみます。
1 |
Received: from mail.cofaer.org.ar (190.106.132[.]123) |
190.106.132[.]123というIPアドレスが出てきました。
このIPアドレスを調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
inetnum: 190.106.128[.]0/19 status: allocated aut-num: N/A owner: G2K ARGENTINA S.A. ownerid: AR-GKSA-LACNIC responsible: Mauro Ferraro address: León Guruciaga, 216, - address: 2900 - San Nicolas de los Arroyos - BA country: AR phone: removed phone number[0000] owner-c: MAF10 tech-c: MAF10 abuse-c: MAF10 .... inetrev: 190.106.132[.]0/23 nserver: NS1.FANGIO.NET nsstat: 20220921 AA nslastaa: 20220921 nserver: NS2.FANGIO.NET [lame - not published] nsstat: 20220921 FAIL nslastaa: 20220315 |
やはりアルゼンチンのIPアドレスでした。
次にメール本文中にあるリンクの遷移先について調べてみます。
メール本文のソースを確認すると、
1 |
<a href="https://pro.sociasyrossello[.]es/upload/zips/sonava.php">続けるにはこちらをクリック</a> |
となっており、 https://pro.sociasyrossello[.]es/upload/zips/sonava.phpが遷移先だということが分かりました。
このドメイン、sociasyrossello[.]es はスペインのドメインです。
安全を担保したうえでこのURLにアクセスしてみます。
日本語でbitbankのログイン画面が表示されました。
URLが当初の遷移先ではありません。matrizluzenergia[.]com.br というドメインへリダイレクトされているようです。
なお、現在のビットバンクの公式サイトから遷移するログイン画面はこちらです。
Google reCAPTCHAのサービス等が使われています。また、正しいドメインが使われているかの注意喚起がされています。
このように、このメールからの遷移先には、ビットバンクのログインページを模した偽のサイトが運用されていました。
なお、偽のログイン画面から進めると
認証コードを求められました。
その後
なぜかMicrosoftのサービスへのサインイン画面が表示されます。
IPアドレスは177.93.106[.]42です。
このIPはブラジルのホスティングサービスを利用したものでした。
Fw: 【bitbank[.]cc】お知らせ、というメールはフィッシング詐欺
Fw: 【bitbank[.]cc】お知らせ、というメールはフィッシング詐欺です。
このメールの送信者名は、bitbank, Inc.とされていますが、送信元メールアドレスは のドメインのアカウントが設定されていますが送信元アドレスとReturn-Pathのドメインは improvesoft.com[.]ar となっており、アルゼンチンのものです。
また送信元サーバーもアルゼンチンのサーバーです。
メール本文中にあるリンクの遷移先より、ブラジルのホスティングサービスを利用して運営されているbitbankの偽のサイトへリダイレクトされます。
くれぐれもアカウント情報やメールパスワード、仮想通貨に関する個人情報などを入力しないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:bitbank,スパムメール,ビットコイン,フィッシング詐欺,仮想通貨