残念ながら、エボスNetのアカウントを更新できませんでした。というメールがフィッシング詐欺か検証する。

公開日:2022/12/2

残念ながら、エボスNetのアカウントを更新できませんでした というメールがフィッシング詐欺かを検証します。

エポスNetのアカウントを更新できませんでした、ご利用確認をしてくださいといった内容のメールです。

メール本文は以下の通りです。

エボスNetお客様【example@hotmail.com】

エボスNetに登録いただいたお客様に、エボスNetアカウントの情報更新をお届けします。

残念ながら、エボスNetのアカウントを更新できませんでした。

今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまさまな理由でカードの情報を更新できませんでした。

アカウント情報の一部誤っている故に、お客様のアカウントを維持するためエボスNetアカウンの情報を確認する必要があります。下からアカウントをログインル、情報を更新してくださ。

▼ご利用確認

https://www.huibiaoxian.com/

(直接アクセスできない場合は、手動でブラウザにコピーして開いてください)

なお、24時間以内にご確認かな、場合、誠に申し訳ごさいません、お客樣の安全の為アカクンの利用制限をさせていただきますので、予めご了承ください。

（禁止事項）

（a）本サービス利用・登録を行う際、虚偽の情報を送信・登録する行為

（b）本サービスによって得られた情報を商業的に利用する行為

（c）法令に違反する行為、または違反する恐れのある行為

（d）利用者として有する権利を第三者に譲渡または行使させる行為

（e）その他、当社が不適当と判断する行為

———————————————————————

株式会社エポスカード

Copyright All Rights Reserved. EPOS Card Co.,Ltd.

まずは送信元を確認してみます。

From: info <etmqrbwghq@hotmail[.]com>
Return-Path: etmqrbwghq@hotmail[.]com

1 2	From: info <etmqrbwghq@hotmail[.]com> Return-Path: etmqrbwghq@hotmail[.]com

送信者名はinfoとなっていますが、送信アドレス・Rerutn-Pathともにメールのドメインはhotmail[.]comとなっています。

次に送信元サーバーを調べてみます。

Received: from HK0PR04MB3249.apcprd04.prod.outlook[.]com
 ([fe80::f48e:d363:f3a0[:]75fc])

1 2	Received: from HK0PR04MB3249.apcprd04.prod.outlook[.]com ([fe80::f48e:d363:f3a0[:]75fc])

このIPアドレスとメールヘッダを調べてみると、メールの送信経路は偽装されていることがわかりました。

メールはMicrosoftのサービスを利用して送信されており、送信元はシンガポールとされています。

次に、メール本文中のリンクの遷移先について調べてみます。

本文をbase64でデコードしてソースを確認すると、

▼ご利用確認<a href="https://www.huibiaoxian[.]com/">https://www.huibiaoxian[.]com/</a>

1	▼ご利用確認<a href="https://www.huibiaoxian[.]com/">https://www.huibiaoxian[.]com/</a>

「ご利用確認」の後にURL https://www.huibiaoxian[.]com/が表示されています。

ソースコードでもリンク先として指定されているURLはhttps://www.huibiaoxian[.]com/でした。

このドメインhuibiaoxian[.]comのwhois情報をチェックしてみると、

Domain Name: huibiaoxian[.]com
Registry Domain ID: 2582941948_DOMAIN_COM-VRSN
Registrar WHOIS Server: grs-whois.hichina.com
Registrar URL: http://wanwang.aliyun.com
Updated Date: 2022-10-31T00:56:15Z
Creation Date: 2021-01-06T00:10:27Z
Registrar Registration Expiration Date: 2023-01-06T00:10:27Z
Registrar: Alibaba Cloud Computing Ltd. d/b/a HiChina (www.net.cn)
Registrar IANA ID: 1599
Reseller:
Domain Status: ok https://icann.org/epp#ok
Registrant City:
Registrant State/Province:
Registrant Country:
Registrant Email:https://whois.aliyun.com/whois/whoisForm
Registry Registrant ID: Not Available From Registry
Name Server: DNS29.HICHINA.COM
Name Server: DNS30.HICHINA.COM
DNSSEC: unsigned
Registrar Abuse Contact Email: removed email address
Registrar Abuse Contact Phone: removed phone number
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>>Last update of WHOIS database: 2022-12-02T02:58:49Z <<<

Domain Name: huibiaoxian[.]com

Registry Domain ID: 2582941948_DOMAIN_COM-VRSN

Registrar WHOIS Server: grs-whois.hichina.com

Registrar URL: http://wanwang.aliyun.com

Updated Date: 2022-10-31T00:56:15Z

Creation Date: 2021-01-06T00:10:27Z

Registrar Registration Expiration Date: 2023-01-06T00:10:27Z

Registrar: Alibaba Cloud Computing Ltd. d/b/a HiChina (www.net.cn)

Registrar IANA ID: 1599

Reseller:

Domain Status: ok https://icann.org/epp#ok

Registrant City:

Registrant State/Province:

Registrant Country:

Registrant Email:https://whois.aliyun.com/whois/whoisForm

Registry Registrant ID: Not Available From Registry

Name Server: DNS29.HICHINA.COM

Name Server: DNS30.HICHINA.COM

DNSSEC: unsigned

Registrar Abuse Contact Email: removed email address

Registrar Abuse Contact Phone: removed phone number

URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

>>>Last update of WHOIS database: 2022-12-02T02:58:49Z <<<

レジストラは中国のアリババクラウドのサービスでした。

登録者の情報はプライバシーサービスで隠されています。

ネームサーバーも中国のネームサーバーを使っています。

安全を担保したうえで、実際にこのURLへアクセスしてみます。

すると、

残念ながら、エボスNetのアカウントを更新できませんでした。というメールがフィッシング詐欺かを検証する・遷移先画面１

このようにエポスカード・エポスNetのログイン画面を模した偽のページが出てきました。

この偽サイトのIPアドレスは198.55.106[.]31です。

このIPを調べてみると、

NetRange: 198.55.96[.]0 - 198.55.127[.]255
CIDR: 198.55.96.0/19
NetName: QUADRANET
NetHandle: NET-198-55-96-0-1
Parent: NET198 (NET-198-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS8100
Organization: QuadraNet Enterprises LLC (QEL-5)
RegDate: 2012-12-28
Updated: 2018-08-30
Ref: https://rdap.arin.net/registry/ip/198.55.96.0


OrgName: QuadraNet Enterprises LLC
OrgId: QEL-5
Address: 19528 Ventura Blvd #433
City: Tarzana
StateProv: CA
PostalCode: 91356
Country: US
RegDate: 2018-06-07
Updated: 2018-10-11
Ref: https://rdap.arin.net/registry/entity/QEL-5

ReferralServer: rwhois://rwhois.quadranet.com:4321

OrgAbuseHandle: QUADR4-ARIN
OrgAbuseName: QuadraNet Abuse
OrgAbusePhone: removed phone number
OrgAbuseEmail: removed email address
OrgAbuseRef: https://rdap.arin.net/registry/entity/QUADR4-ARIN

OrgTechHandle: QNO6-ARIN
OrgTechName: QuadraNet Network Operations
OrgTechPhone: removed phone number
OrgTechEmail: removed email address
OrgTechRef: https://rdap.arin.net/registry/entity/QNO6-ARIN

NetRange: 198.55.96[.]0 - 198.55.127[.]255

CIDR: 198.55.96.0/19

NetName: QUADRANET

NetHandle: NET-198-55-96-0-1

Parent: NET198 (NET-198-0-0-0-0)

NetType: Direct Allocation

OriginAS: AS8100

Organization: QuadraNet Enterprises LLC (QEL-5)

RegDate: 2012-12-28

Updated: 2018-08-30

Ref: https://rdap.arin.net/registry/ip/198.55.96.0

OrgName: QuadraNet Enterprises LLC

OrgId: QEL-5

Address: 19528 Ventura Blvd #433

City: Tarzana

StateProv: CA

PostalCode: 91356

Country: US

RegDate: 2018-06-07

Updated: 2018-10-11

Ref: https://rdap.arin.net/registry/entity/QEL-5

ReferralServer: rwhois://rwhois.quadranet.com:4321

OrgAbuseHandle: QUADR4-ARIN

OrgAbuseName: QuadraNet Abuse

OrgAbusePhone: removed phone number

OrgAbuseEmail: removed email address

OrgAbuseRef: https://rdap.arin.net/registry/entity/QUADR4-ARIN

OrgTechHandle: QNO6-ARIN

OrgTechName: QuadraNet Network Operations

OrgTechPhone: removed phone number

OrgTechEmail: removed email address

OrgTechRef: https://rdap.arin.net/registry/entity/QNO6-ARIN

このIPは、QUADRANETという米国のホスティングサービスを利用して運用されているものだとわかりました。

画面の案内に沿って入力すると

残念ながら、エボスNetのアカウントを更新できませんでした。というメールがフィッシング詐欺かを検証する・遷移先画面２

残念ながら、エボスNetのアカウントを更新できませんでした。というメールがフィッシング詐欺かを検証する・遷移先画面３

会員IDの再登録として、クレジットカード情報を求められます。

なお、この入力ページのサイトロゴや、フッターに書かれたリンク先については、全てエラー表示となっていました。

残念ながら、エボスNetのアカウントを更新できませんでした。というメールはフィッシング詐欺

残念ながら、エボスNetのアカウントを更新できませんでした。というメールはフィッシング詐欺です。

このメールはMicrosoftのサービスを使い、送信経路を偽装したメールです。

メールからのリンク先のドメインは、アリババクラウドのサービスで登録されたもので、エポスカード・エポスNetの公式のものではありません。リンクからの遷移先は米国のホスティングサービスを利用して運営されている偽のログイン画面へと遷移します。

くれぐれもアカウント情報、クレジットカード情報や個人情報を入力しないようご注意ください。

関連するこの記事も読まれています

2022.12.02 →残念ながら、エボスNetのアカウントを更新できませんでした。というメールがフィッシング詐欺か検証する。

2022.06.15 →【EPOS Net】エポスカード重要なお知らせというメールがフィッシング詐欺か検証する

2021.08.06 →【重要】エポスカードからの緊急のご連絡というフィッシング詐欺メールを調査する

2021.05.11 →【重要なお知らせ】エポスカードご利用確認というメールを分析してみる

2021.02.01 →【重要なお知らせ】エポスNet ID 必要の再アクティブ化リクエストというメールを検証する

カテゴリ：フィッシング
タグ：エポスNet,エポスカード,スパムメール,フィッシング詐欺

残念ながら、エボスNetのアカウントを更新できませんでした。というメールがフィッシング詐欺か検証する。

残念ながら、エボスNetのアカウントを更新できませんでした。というメールはフィッシング詐欺

関連記事

関連記事

人気記事

CCSIのサービス

無料ツール

残念ながら、エボスNetのアカウントを更新できませんでした。 というメールがフィッシング詐欺か検証する。

残念ながら、エボスNetのアカウントを更新できませんでした。というメールはフィッシング詐欺

関連記事

関連記事

「あなたのアカウントは異常行為で制限されています」という楽天からのメールがフィッシング詐欺か検証する

【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。

【三井住友カード】お届け情報変更受付のお知らせというメールがフィッシング詐欺か検証する

「Amazonからの緊急連絡」というメールが詐欺なのか分析する

【楽天情報】より会員個人情報を更新できませんでした（自動配信メール）というメールがフィッシング詐欺か検証する

人気記事

CCSIのサービス

無料ツール

残念ながら、エボスNetのアカウントを更新できませんでした。というメールがフィッシング詐欺か検証する。