Your card temporarily suspended.という三井住友カードを騙るフィッシング詐欺メールを解析する

公開日:2020/2/11

Your card temporarily suspended.という三井住友カードを騙るフィッシング詐欺メールが発生しています。

本文は画像で構成されており一見不審さはありませんが、よくみると文面には翻訳のような違和感があります。

メールヘッダーを調べてみると、送信元のFromは

From: SMBC - CARD <help@smbc-card.com>

1	From: SMBC - CARD <help@smbc-card.com>

となっており、smbc-card.comになっています。

また、Return-Pathをみても、

Return-Path: <help@smbc-card.com>

1	Return-Path: <help@smbc-card.com>

となっており、三井住友カードの正規のドメインが表記されています。

しかし、Received: fromで送信元のサーバーまでチェックすると、

Received: from 1A0547B9-0146-4 (unknown [176.112.146.250])

1	Received: from 1A0547B9-0146-4 (unknown [176.112.146.250])

inetnum:        176.112.144.0 - 176.112.159.255
netname:        EE-ASTREC-20120322
country:        EE　　　→　（エストニア）
org:            ORG-ADO2-RIPE
admin-c:        ADRO1-RIPE
tech-c:         ADRO1-RIPE
mnt-routes:     ASTREC-DATA-MNT
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         ASTREC-DATA-MNT
status:         ALLOCATED PA
created:        2018-02-05T10:39:30Z
last-modified:  2018-03-22T09:40:03Z
source:         RIPE

inetnum: 176.112.144.0 - 176.112.159.255

netname: EE-ASTREC-20120322

country: EE　　　→　（エストニア）

org: ORG-ADO2-RIPE

admin-c: ADRO1-RIPE

tech-c: ADRO1-RIPE

mnt-routes: ASTREC-DATA-MNT

mnt-by: RIPE-NCC-HM-MNT

mnt-by: ASTREC-DATA-MNT

status: ALLOCATED PA

created: 2018-02-05T10:39:30Z

last-modified: 2018-03-22T09:40:03Z

source: RIPE

このIPアドレスはエストニアに割り振られているようです。

エストニアから三井住友カードがメールを送ってくるとは考えにくいですから、この時点で詐欺だと考えて良いでしょう。

誘導先を見てみます。

https://flashbulbmemories[.]com/7.php

1	https://flashbulbmemories[.]com/7.php

となっています。

このドメインのwhois情報は、

Domain Name: FLASHBULBMEMORIES.COM
Registry Domain ID: 1672875219_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2019-08-20T16:06:06Z
Creation Date: 2011-08-19T22:54:34Z
Registrar Registration Expiration Date: 2020-08-19T22:54:34Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Registry Registrant ID: Not Available From Registry
Registrant Name: Registration Private
Registrant Organization: Domains By Proxy, LLC
Registrant Street: DomainsByProxy.com
Registrant Street: 14455 N. Hayden Road
Registrant City: Scottsdale
Registrant State/Province: Arizona
Registrant Postal Code: 85260
Registrant Country: US
Registrant Phone: +1.4806242599
Registrant Phone Ext: 
Registrant Fax: +1.4806242598
Registrant Fax Ext: 
Registrant Email: FLASHBULBMEMORIES.COM@domainsbyproxy.com
Registry Admin ID: Not Available From Registry
Admin Name: Registration Private
Admin Organization: Domains By Proxy, LLC
Admin Street: DomainsByProxy.com
Admin Street: 14455 N. Hayden Road
Admin City: Scottsdale
Admin State/Province: Arizona
Admin Postal Code: 85260
Admin Country: US
Admin Phone: +1.4806242599
Admin Phone Ext: 
Admin Fax: +1.4806242598
Admin Fax Ext: 
Admin Email: FLASHBULBMEMORIES.COM@domainsbyproxy.com
Registry Tech ID: Not Available From Registry
Tech Name: Registration Private
Tech Organization: Domains By Proxy, LLC
Tech Street: DomainsByProxy.com
Tech Street: 14455 N. Hayden Road
Tech City: Scottsdale
Tech State/Province: Arizona
Tech Postal Code: 85260
Tech Country: US
Tech Phone: +1.4806242599
Tech Phone Ext: 
Tech Fax: +1.4806242598
Tech Fax Ext: 
Tech Email: FLASHBULBMEMORIES.COM@domainsbyproxy.com
Name Server: NS23.DOMAINCONTROL.COM
Name Server: NS24.DOMAINCONTROL.COM
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

Domain Name: FLASHBULBMEMORIES.COM

Registry Domain ID: 1672875219_DOMAIN_COM-VRSN

Registrar WHOIS Server: whois.godaddy.com

Registrar URL: http://www.godaddy.com

Updated Date: 2019-08-20T16:06:06Z

Creation Date: 2011-08-19T22:54:34Z

Registrar Registration Expiration Date: 2020-08-19T22:54:34Z

Registrar: GoDaddy.com, LLC

Registrar IANA ID: 146

Registrar Abuse Contact Email: abuse@godaddy.com

Registrar Abuse Contact Phone: +1.4806242505

Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited

Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited

Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited

Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited

Registry Registrant ID: Not Available From Registry

Registrant Name: Registration Private

Registrant Organization: Domains By Proxy, LLC

Registrant Street: DomainsByProxy.com

Registrant Street: 14455 N. Hayden Road

Registrant City: Scottsdale

Registrant State/Province: Arizona

Registrant Postal Code: 85260

Registrant Country: US

Registrant Phone: +1.4806242599

Registrant Phone Ext:

Registrant Fax: +1.4806242598

Registrant Fax Ext:

Registrant Email: FLASHBULBMEMORIES.COM@domainsbyproxy.com

Registry Admin ID: Not Available From Registry

Admin Name: Registration Private

Admin Organization: Domains By Proxy, LLC

Admin Street: DomainsByProxy.com

Admin Street: 14455 N. Hayden Road

Admin City: Scottsdale

Admin State/Province: Arizona

Admin Postal Code: 85260

Admin Country: US

Admin Phone: +1.4806242599

Admin Phone Ext:

Admin Fax: +1.4806242598

Admin Fax Ext:

Admin Email: FLASHBULBMEMORIES.COM@domainsbyproxy.com

Registry Tech ID: Not Available From Registry

Tech Name: Registration Private

Tech Organization: Domains By Proxy, LLC

Tech Street: DomainsByProxy.com

Tech Street: 14455 N. Hayden Road

Tech City: Scottsdale

Tech State/Province: Arizona

Tech Postal Code: 85260

Tech Country: US

Tech Phone: +1.4806242599

Tech Phone Ext:

Tech Fax: +1.4806242598

Tech Fax Ext:

Tech Email: FLASHBULBMEMORIES.COM@domainsbyproxy.com

Name Server: NS23.DOMAINCONTROL.COM

Name Server: NS24.DOMAINCONTROL.COM

DNSSEC: unsigned

URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

となっています。

Domains By Proxy, LLCというのは、WHOISで氏名、アドレス、その他の詳細を置き換えるプライバシーサービスです。

https://jp.godaddy.com/domains/full-domain-privacy-and-protection

さて、この転送先には、refreshタグがあり、

https://b2b-schilder[.]de/modules/ps_contactinfo/vendor/jp/

1	https://b2b-schilder[.]de/modules/ps_contactinfo/vendor/jp/

というデンマークドメインに転送され以下のようなボタンが表示されます。

このボタンをクリックすると、

https://ipapi.co/org/

1	https://ipapi.co/org/

のデータを用い、アクセスしてきた回線を探ります。

この中にはNTT Communications CorporationやRakuten Communications Corpなどがあり、こうしたアクセス元情報によって、表示ページを切り替える仕組みになっています。

こうしたサイトへのアクセスや、個人情報の入力などは危険ですので行わないようにしてください。

関連するこの記事も読まれています

2022.09.30 →【重要】三井住友カードサービスの緊急連絡、情報を確認してください。というメールがフィッシング詐欺か検証する

2021.05.10 →【三井住友カード】ご利用のANA VISA プリペイドカードが一時的に利用停止されましたというメールを分析する

2020.10.14 →至急、S M B Cカード会員サービスに修正情報を再登録してくださいというメールがフィッシング詐欺か検証する

2020.10.08 →【三井住友カード】お届け情報変更受付のお知らせというメールがフィッシング詐欺か検証する

2020.10.03 →三井住友カード【重要】というメールがフィッシング詐欺か調査する

2020.07.14 →【重要：必ずお読みください】三井住友VISAカード「Vpass」のログイン確認 2020/7/125:41:45というメールがフィッシング詐欺か検証する

2020.05.07 →「【重要】お客様の【三井住友銀行カード】が第三者に利用される恐れがあります。」というメールがフィッシング詐欺か検証する

2020.04.15 →「Your card has been suspended !」というsuspended@smbc.co.jpからのメールがフィッシング詐欺か分析する

2020.03.18 →「【重要】三井住友カード」というVpassIDおよびパスワード変更を促すメールを分析する

2020.03.03 →【第二弾】三井住友カード株式会社から緊急のご連絡、文面違いのメールを調べてみる

カテゴリ：スパム,フィッシング
タグ：三井住友カード

Your card temporarily suspended.という三井住友カードを騙るフィッシング詐欺メールを解析する

関連記事

関連記事

人気記事

CCSIのサービス

無料ツール

Your card temporarily suspended.という三井住友カードを騙るフィッシング詐欺メールを解析する

関連記事

関連記事

【スミッシング（Smishing）とは】SMSを使ったフィッシング詐欺の拡大

「あなたのアカウントは停止されました」というAmazonからのメールがフィッシング詐欺か検証する

【重要なお知らせ】AEON ご利用確認のお願いというメールがフィッシング詐欺か検証する

「【重要】お客様の【三井住友銀行カード】が第三者に利用される恐れがあります。」というメールがフィッシング詐欺か検証する

イオンクレジットサービス(株)からのメール というメールがフィッシング詐欺か検証する

人気記事

CCSIのサービス

無料ツール

イオンクレジットサービス(株)からのメールというメールがフィッシング詐欺か検証する