【重要】エポスカード からの緊急のご連絡というフィッシング詐欺メールを調査する
【重要】UCカード からの緊急の連絡というフィッシング詐欺メールを分析する
【Orico】カードご利用確認というメールがフィッシング詐欺か調査する
公開日:
【Orico】カードご利用確認というメールがフィッシング詐欺か調査します。
メール本文は以下の通り。
example@example.com様
Oricoカード利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。
ご利用確認はこちら
ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。
————————————-
個人情報に関するお問い合わせは、下記のお客さま相談室までお願いします。
株式会社オリエントコーポレーション
〒102-8503 東京都千代田区麹町5丁目2番地1
電話番号:03-5877-1112
まずはメールの送信元を調べてみます。
|
1 2 |
From: Orico <e-ask-orico-co-jp@e05l[.]cn> Return-Path: <e-ask-orico-co-jp@e05l[.]cn> |
送信者名はOricoとなっていますが、送信元メールアドレス、Return-Pathともにe-ask-orico-co-jp@e05l[.]cnとなっており、.cnと中国のドメインが使われています。
送信元サーバーも調べてみます。
|
1 |
Received: from mta0.e05l.cn (server.e05l.cn [45.156.24[.]177]) |
45.156.24[.]177というIPアドレスが出てきました。
調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
inetnum: 45.156.24.0 - 45.156.24.255 netname: CloudBackbone descr: OpenStack Cloud country: RU admin-c: LA7667-RIPE tech-c: LA7667-RIPE abuse-c: LA7667-RIPE status: ASSIGNED PA mnt-by: mnt-ru-kosintsev-1 created: 2020-03-03T16:27:37Z last-modified: 2020-03-03T16:27:37Z source: RIPE role: CloudBackbone NOC address: 117485, Russian Federation, Moscow, Butlerova 7 abuse-mailbox: removed email address nic-hdl: LA7667-RIPE mnt-by: cloudbackbone_net created: 2019-10-08T11:23:05Z last-modified: 2019-10-08T12:23:08Z source: RIPE # Filtered |
ロシア、モスクワにあるサーバーのようです。
次にメール本文中のリンクの誘導先を調べてみます。
base64でデコードしてソースを見てみると、
|
1 |
<A href="https://orico.co.jp.pgbzgi[.]shop?tokenmail=example@example.com">ご利用確認はこちら</A> |
となっており、遷移先がhttps://orico.co.jp.pgbzgi[.]shopであることが分かります。
なお、tokenmail=example@example.comという部分がありますが、ここは受信したメールアドレスが入っています。
これにより不正者はどのアドレスに送ったメールのリンクがクリックされたかを把握することができてしまいます。
さて、このドメインのwhois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
Domain Name: PGBZGI.SHOP Registry Domain ID: DO5810788-GMO Registrar WHOIS Server: whois.dnspod.cn Registrar URL: https://www.dnspod.cn Updated Date: 2021-06-05T02:31:36.0Z Creation Date: 2021-06-02T05:25:36.0Z Registry Expiry Date: 2022-06-02T23:59:59.0Z Registrar: DNSPod, Inc. Registrar IANA ID: 1697 Registrar Abuse Contact Email: abuse@dnspod.com Registrar Abuse Contact Phone: +86.4009100100 Domain Status: ok https://icann.org/epp#ok Registrant State/Province: guang dong sheng Registrant Country: CN Registrant Email: Admin Email: Tech Email: Name Server: HM2.ALIDNS.COM Name Server: HM1.ALIDNS.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ |
これも中国で登録されているドメインであることが分かりました。
さっそく、安全を確保したうえでアクセスしてみます。
すると、
このように偽のオリコカードのログインサービスサイトが運用されていました。
このサーバーのIPアドレスは198.23.167[.]191、米国シカゴのホスティングサービスを利用していることが分かりました。
【Orico】カードご利用確認というメールはフィッシング詐欺
【Orico】カードご利用確認というメールはフィッシング詐欺です。
このメールは送信者名こそOrico(オリコ)ですが、中国ドメインのメールアドレスを用いてロシアのサーバーから配信されています。
またリンクの誘導先はやはり中国で取得されたドメインを用いて米国のサーバーで運用されているオリコの偽サイトです。
くれぐれもアカウント情報やカード情報を入力しないよう、ご注意ください。
関連記事
カテゴリ:フィッシング
タグ:Orico,オリコ,オリコカード,スパムメール,フィッシング詐欺
関連記事
人気記事
