【重要】三井住友カードサービスの緊急連絡、情報を確認してください。というメールがフィッシング詐欺か検証する

公開日:2022/9/30

【重要】三井住友カードサービスの緊急連絡、情報を確認してください。というメールがフィッシング詐欺か検証します。

本人の利用かどうか確認したい取引がある、という内容です。

メール本文は以下の通り。

ＳＭＢＣＣＡＲＤクラシック※会員様

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、サービスのご利用を一部制限させていただき、お客様のアカウントのに登録された電話番号にご連絡いたしましたが、お客様に連絡を取ることができませんでした.ご連絡させていただきました。

ご回答をいただけない場合、サービスのご利用制限が継続されることもございますので、予めご了承下さい。

ご利用確認はこちら

■ 注意事項

※カードの個人情報によっては電話で連絡する場合もございます。

※正確な情報は必ず記入してください。

■発行者■

三井住友カード株式会社

　https://www.smbc-card.com/

〒135-0061 東京都江東区豊洲2丁目2番31号 SMBC豊洲ビル

本メールに関する一切の記事の無断転載および再配布を禁じます。

Copyright (C) Sumitomo Mitsui Card Co., Ltd.

まずは送信元を調べてみます。

From: "三井住友カード" <account-update@smbc.co[.]jp>
Return-Path: <account-update@smbc.co[.]jp>

1 2	From: "三井住友カード" <account-update@smbc.co[.]jp> Return-Path: <account-update@smbc.co[.]jp>

送信者名は三井住友カードとなっており、送信元メールアドレス、Return-Pathともにaccount-update@smbc.co.jpと三井住友銀行のドメインになっています。

そこで、送信元のサーバーも調べてみます。

Received: from smbc.co.jp (unknown [112.250.138[.]181])

1	Received: from smbc.co.jp (unknown [112.250.138[.]181])

112.250.138[.]181というIPアドレスが出てきました。

inetnum: 112.224.0.0 - 112.255.255.255
netname: UNICOM-SD
descr: China Unicom Shandong province network
descr: China Unicom
country: CN
admin-c: CH1302-AP
tech-c: XZ14-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP
mnt-lower: MAINT-CNCGROUP-SD
mnt-routes: MAINT-CNCGROUP-RR
status: ALLOCATED PORTABLE

inetnum: 112.224.0.0 - 112.255.255.255

netname: UNICOM-SD

descr: China Unicom Shandong province network

descr: China Unicom

country: CN

admin-c: CH1302-AP

tech-c: XZ14-AP

mnt-by: APNIC-HM

mnt-lower: MAINT-CNCGROUP

mnt-lower: MAINT-CNCGROUP-SD

mnt-routes: MAINT-CNCGROUP-RR

status: ALLOCATED PORTABLE

このIPを調べてみると、中国のチャイナユニコムに割り当てられているIPアドレスのようです。

送信元サーバーは中国だと分かりました。

次に、メール本文中のリンク遷移先について調べてみます。

base64でデコードするとソースが確認できますが、

a href="https://rebrand[.]ly/w6i25f4"

1	a href="https://rebrand[.]ly/w6i25f4"

リンク先の部分を抽出すると上記のようになっており、短縮URLサービスを使っていることが分かりました。

安全を担保したうえで、リダイレクト先にまでアクセスしてみます。

実際にアクセスするとリダイレクト先はhttps://trytusxhgf[.]top/_ap/signinでした。

そして三井住友カードのログイン画面をコピーした偽のサイトが運用されています。

trytusxhgf[.]topのドメインについてwhois検索してみますが、プライバシーサービスを利用しているようです。

Domain Name: trytusxhgf[.]top
Registry Domain ID: D20220929G10001G_88746826-top
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com
Updated Date: 2022-09-29T11:17:05Z
Creation Date: 2022-09-29T11:12:22Z
Registry Expiry Date: 2023-09-29T11:12:22Z
Registrar: NameSilo,LLC
Registrar IANA ID: 1479
Registrar Abuse Contact Email: abuse@namesilo.com
Registrar Abuse Contact Phone: +1.4805240066
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: PrivacyGuardian.org llc
Registrant Street:  REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: AZ
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Registrant Phone: REDACTED FOR PRIVACY
Registrant Phone Ext: REDACTED FOR PRIVACY
Registrant Fax: REDACTED FOR PRIVACY
Registrant Fax Ext: REDACTED FOR PRIVACY