SMBCカードを騙るフィッシングサイトの調査 パスワード再設定のお願い(三井住友カード)
- 2024/11/05
- 20:04
今回の不審メールは↓
メールタイトル:重要:パスワード再設定のお願い(三井住友カード)
メールタイトル:重要:パスワード再設定のお願い(三井住友カード)
ヘッダー情報を確認します。
メールの転送順序は、
220.202.254.200(AS4837 CHINA UNICOM China169 Backbone)
↓
mta7104.mail.djm.ynwp.yahoo.co.jp
X-Originating-IP: [220.202.254.200]
X-Z-SenderAuth: yahooip=false; suspicious=false; domainkeys-result=neutral(nosig); dkim-result=neutral(nosig); spf-result=none; reversed-hostname=NXDOMAIN; dkauth-stat=neutral;
Received-SPF: none (adtsunndwxupaqvyydhatdvil: domain of smbc-kvjzqqyz-kmuiumsatiebgghpoufw@egswu.com does not designate permitted sender hosts)
Authentication-Results: mta7104.mail.djm.ynwp.yahoo.co.jp from=egswu.com; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@egswu.com; dmarc=none; header.from=egswu.com
Received: from 124.83.236.101 (EHLO adtsunndwxupaqvyydhatdvil) (220.202.254.200)
by mta7104.mail.djm.ynwp.yahoo.co.jp with SMTP; Tue, 05 Nov 2024 08:26:16 +0900
Message-ID: <c6c74d9ef3c53dd6585d821a14ade5af@egswu.com>
Sender: <Smbc-kvjzqqyz-kmuiumsatiebgghpoufw@egswu.com>
From: =?utf-8?Q?=E4=B8=89=E4=BA=95=E4=BD=8F=E5=8F=8B=E3=82=AB=E3=83=BC=E3=83=89?= <Smbc-kvjzqqyz-kmuiumsatiebgghpoufw@egswu.com>
続いて送信メールアドレス(Smbc-kvjzqqyz-kmuiumsatiebgghpoufw@egswu.com)の確認です。
SPF認証は失敗、DKIM署名もありません。
Received-SPF: none (adtsunndwxupaqvyydhatdvil: domain of smbc-kvjzqqyz-kmuiumsatiebgghpoufw@egswu.com does not designate permitted sender hosts)
Authentication-Results: mta7104.mail.djm.ynwp.yahoo.co.jp from=egswu.com; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@egswu.com; dmarc=none; header.from=egswu.com
続いて、リンク先を確認しますが、メールフィルタリングを回避するための工夫が見られました。
URLに「@」が含まれているため、「@」より前の文字列がブラウザで省略されます。
最終的にブラウザが解釈するURLは↓のとおりです。
リンク先URL:https://smbc.gopdcyftm.com%E2%88%95ononkxvbrh%E2%88%95dougzittvq%E2%88%95hjmhdehvjj@hecjyyv.greent.cn/caonima=ryivda.co.jp/
↓
ブラウザが解釈するURL:https://hecjyyv.greent.cn/caonima=ryivda.co.jp/
レジストラ:阿里云计算有限公司(万网)
レジストラント: 何贵兴
レジストラント連絡先: west263domain@gmail.com
IP:104.21.65.212, 172.67.167.19
ホスティング:AS13335 Cloudflare, Inc.
このURLにアクセスするとリダイレクトします。
リダイレクト先:https://epvra.cn/login.php
レジストラ:阿里云计算有限公司(万网)
レジストラント: 李佳浩
レジストラント連絡先: 17692394090@163.com
サーバ証明書サブジェクト代替名:epvra.cn, iogzku.cn, kirkpatrick.cn, knqtbxl.cn, madesimple.cn, mgttsth.cn, poolservice.cn, soundtracks.cn, sportscards.cn, waisted.cn
IP:150.109.238.219
ホスティング:AS132203 Tencent Building, Kejizhongyi Avenue
リンク先はSMBCカードのフィッシングサイトでした。
ID、パスワード、クレジットカード情報、氏名住所等の個人情報、SMS認証コードなどの入力を求められます。
入力データはPOSTメソッドでサーバへ送信されます。
ということで、今回はSMBCカードのフィッシングメールでした。
注意
このような不審メールを受信した場合、メールの文面やフィッシングサイトの作りから本物かどうかを見極めることは困難です。
メールを見て不安に思ったとしても絶対にリンク先をクリックせず、予めブックマークした正規サイトのURLからアクセスしたり、
専用アプリを使うなどして確認を行うようにしましょう。
