【みずほ銀行】振込入金失敗のお知らせというメールがフィッシング詐欺か検証する
KILLNET、今度は5ちゃんねるのサーバーを攻撃か
お客様のカードに問題があるとのご連絡をいただきました。というAEONからのメールがフィッシング詐欺か検証する
公開日:
お客様のカードに問題があるとのご連絡をいただきました。というAEONからのメールがフィッシング詐欺か検証します。
クレジットカードに問題があったのでブロックしたという内容で、このメールは画像で配信されています。
まずはこのメールの送信元を調べてみます。
|
1 2 |
From: "AEONカード" <contact@aeon.co[.]jp> Return-Path: <contact@aeon.co[.]jp> |
メール送信者名はAEONカード、送信元メールアドレス、Return-Pathともにcontact@aeon.co[.]jpとなっており、この段階ではまだ不審なものかどうか確定できません。
次に送信元のサーバーを調べてみます。
メールヘッダーを見てみると
|
1 |
Received: from tilaa[.]com (unknown [185.162.108[.]79]) |
となっており、185.162.108[.]79というIPアドレスが出てきました。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
inetnum: 185.162.108.0 - 185.162.108.255 netname: UK-SYSTEMSUP-MAIDENHEAD country: GB admin-c: RM1358-RIPE tech-c: RM1358-RIPE status: ASSIGNED PA created: 2018-09-06T13:12:33Z last-modified: 2018-09-06T13:12:33Z source: RIPE mnt-by: MNT-SYSTEMSUP person: Richard Mcmahon address: IOMART Ltd. address: West Of Scotland Science Park address: Glasgow address: Strathclyde address: G20 0SP phone: removed phone number fax-no: removed phone number mnt-by: GB10488-RIPE-MNT nic-hdl: RM1358-RIPE created: 2002-08-15T09:10:22Z last-modified: 2017-10-30T21:45:46Z source: RIPE # Filtered |
ISPはIOMART CLOUD SERVICES LIMITEDとなっており、イギリスのIPアドレスです。
次に、このメールのリンク先について調べてみます。
ソースを確認してみると、
|
1 |
<a href="https://ethio.ewebot[.]biz/fayvercon/"><img alt="" src="https://ethio.ewebot[.]biz/fayvercon/fayvercon.gif" style="width: 889px; height: 510px;" /> |
となっています。
https://ethio.ewebot[.]biz/fayvercon/がリンク先ですが、ethio.ewebot[.]bizはewebot[.]bizのサブドメインです。
ewebot.bizのwhois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
Domain Name: ewebot[.]biz Registry Domain ID: DA3537F1EA61847A69A6D7BDC22D1160F-GDREG Registrar WHOIS Server: whois.publicdomainregistry.com Registrar URL: www. publicdomainregistry.com Updated Date: 2022-03-01T08:27:39Z Creation Date: 2022-02-24T08:27:38Z Registry Expiry Date: 2023-02-24T08:27:38Z Registrar: BigRock Solutions Ltd. Registrar IANA ID: 1495 Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Registry Registrant ID: REDACTED FOR PRIVACY Registrant Name: REDACTED FOR PRIVACY Registrant Organization: N/A Registrant Street: REDACTED FOR PRIVACY Registrant Street: REDACTED FOR PRIVACY Registrant Street: REDACTED FOR PRIVACY Registrant City: REDACTED FOR PRIVACY Registrant State/Province: Delhi Registrant Postal Code: REDACTED FOR PRIVACY Registrant Country: IN Registrant Phone: REDACTED FOR PRIVACY Registrant Phone Ext: REDACTED FOR PRIVACY Registrant Fax: REDACTED FOR PRIVACY Registrant Fax Ext: REDACTED FOR PRIVACY Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Registry Admin ID: REDACTED FOR PRIVACY |
インドで登録されているドメインでした。
安全を担保して実際にアクセスしてみると、リダイレクトされhttps://thecenterstagecoach[.]com/配下のページに遷移します。
このように、クレジットカード情報の入力画面が出てきました。
IPアドレスは192.185.21[.]196です。
ISPはUnified Layer、米国のIPアドレスです。
この画面で諸々の情報を入力すると、AEONのトップページ(本物)に遷移する仕組みとなっています。
お客様のカードに問題があるとのご連絡をいただきました。というAEONからのメールはフィッシング詐欺
お客様のカードに問題があるとのご連絡をいただきました。というAEONからのメールはフィッシング詐欺です。
このメールは送信者名はAEONカード、送信元メールアドレス、Return-Pathともにcontact@aeon.co[.]jpとなっていますが、送信元のサーバーはイギリスのものです。
メール内のリンク遷移先はインドで取得されたドメインで、リダイレクトののち米国のサーバーで運用されているAEONのカード情報を窃取する偽のサイトへと接続します。
くれぐれもクレジットカード情報を入力することがないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:AEON,AEON CARD,AEONカード,スパムメール,フィッシング詐欺
関連記事
人気記事
