MUFGカードのフィッシングメールが届いた。

スポンサーリンク
Reports-icon

MUFG カードのフィッシングメールを調査

Gmail の 迷惑メール に振り分けられていたが 2019年 5月 24日付けで【 重要:必ずお読みください 】というタイトルの  MUFG を騙るフィッシングメールが届いていたので 少し調べてみた。



メール本文は下記のような内容。

MUFGカードWEBサービスご登録確認

いつも MUFG カード WEB サービスをご利用いただき、ありがとうございます。
この度、MUFG カード WEB サービスに対し、第三者によるアクセスを確認いたしました。
万全を期すため、本日、お客様のご登録 ID を以下のとおり暫定的に変更させていただきました。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。

http://www.xxxx-xx.xxx/xxxxxx/xx

上記 MUFG カード WEB サービス ID は弊社にて自動採番しているものですので、 弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、 大変お手数ではございますが、下記 URL からログインいただき、 任意の ID への再変更をお願いいたします。

なお、新たな ID? パスワードは、セキュリティの観点より「 8桁 」のご登録を強くおすすめいたします。

http://www.xxxx-xx.xxx/xxxxxx/xx

*他のサイトでも同じ ID をご利用の場合には、念のため異なる ID への変更をおすすめいたします。

よくある自動翻訳の文章と異なり 自然な日本語文章でもっともらしい内容になっているが「 弊社は、 」に対する述語が無いなど詰めが甘い。

はじめは URL が「 https:// 」になっていないことも疑問に感じたが、MUFG の公式サイトも ログインするカード選択ページは「 http://www.cr.mufg.jp/select/login.html 」で 保護されていなかった。

送信元は  MUFG カード <takeshi-kimiya@ai.tnc.ne.jp>

ドメインを検索してみたものの該当なし。
ちなみにクレジットカード会社が個人名でメールを送ってくることはない。

宛先は “****.*****” <****.*****@jbinc.co.jp>

表示されている氏名は 名前の部分は合っているものの名字が異なっており、メールのドメインも適当で ドメインも登録がなかったので メールヘッダーを確認。

Received: from m-out-com.basmail.jp (m-out-com.basmail.jp. [2403:7800:5021::57])
by mx.google.com with ESMTPS id ********.2019.05.24.10.07.29
for <****.****@gmail.com>
Fri, 24 May 2019 10:07:30 -0700 (PDT)

「 m-out-com 」を検索すると東京本社の「 エムアウト 」という企業がヒットするものの 無関係っぽいので、社団法人日本ネットワークインフォメーションセンター( JPNIC )で IP アドレスを検索。

社団法人日本ネットワークインフォメーションセンター(JPNIC)

MUFG Phishing Mail 001

送信元は東証一部の「 株式会社 TOKAI コミュニケーションズ 」。

偽装していなければ使用したメールクライアントソフトは「 Microsoft Outlook 16.0 」。

MUFG Phishing Mail 006

Gmail であればデカデカと「 このメールにはご注意ください 」とフィッシングメールであることを警告してくるだけでなく、リンクも削除されるので 酔狂でなければ アクセスすることはないはず。

MUFG Phishing Mail 003

記載されている URL を強引に開こうとすれば 今度はセキュリティソフト ( ESET Internet Security ) が反応する。

MUFG Phishing Mail 005

スマホの無料セキュリティアプリ Sophos Mobile Security もきっちり仕事をしている。

MUFG Phishing Mail 007

VirusTotal でメールに記載されていた URL を調べたところ「 Sophos 」や「 BitDefender 」など 3 件のセキュリティアプリが「 Malicious ( 悪意のある ) 」もしくは「 Phishing 」と判定。

MUFG Phishing Mail 008

次に「 Aguse.jp 」で調べてみたら メタタグは公式の MUFG と全く同じという手の込みよう。

MUFG Phishing Mail 013

IP アドレスの管理元は香港で 記載されている住所を検索すると「 HSBC ( 香港上海銀行 ) 」の住所と一致した。

MUFG Phishing Mail 010

記載された URL にアクセスしてみると 公式サイトとそっくり!
ただ 現在 公式サイトでは「 My JCB 」のアイコンは消えている。

MUFG Phishing Mail 011

本来の MUFG カードは カードブランド選択後に「 ID 」と「 パスワード 」でログインし、更に「 生年月日 」または「 電話番号 」での 認証 が必要になるのだが、詐欺サイトはログインなしにカード番号の入力フォームが表示され、URL も保護されていない「 http:// 」のままになっているものの MUFG , DC , NICOS など各ブランドのフォームデザインも同じ。

MUFG Phishing Mail 016

フォーム 入力後も URL が保護されていないだけで よく見かける動作をする。

MUFG Phishing Mail 012

ソースを見ても日本語のカタカナや漢字が使われているのだが 一部 隠しきれていなかった(笑)
「 错误信息 」とは「 エラー情報 」のことらしい。

MUFG Phishing Mail 014

Aguseの「 ブラックリスト判定結果 」では「 非営利団体 SPAMHAUS プロジェクトによる IP アドレスベースの送信者ブラックリスト ( https://www.spamhaus.org/sbl/ ) 」に該当。

このフィッシングメールは手当たり次第に発送されているのか MUFG カード会員宛に発送されているのかが気になるところだが、公式サイトでも注意喚起されており Gmail でもフィッシング判定されているので、普通にセキュリティ対策を行っていれば まず詐欺に合うことはないはず。

また MUFJ の場合 カードの不正利用が発覚した時点でカードは利用不能になる。

Reports-icon

またカードが不正利用された。

MUFGの不正使用検知システムで不正利用が発覚して実害なし 昨年の12月に2年以上も前に切り替えを行った「Amazon Master クラシック」が欧州で不正利用されたのだが、今度はMUFG系のVISAカードが不正利用さ […]





関連記事

Infect-icon

マルウェアの種類と概要

悪意のあるソフトウェア「 マルウェア 」の形態と種類について Malware ( マルウェア ) は Malicious softwere ( 悪意のあるソフトウェア ) の 混成語。 一般的に使用されている 広義での「 […]

protonmail-icon

ProtonMail インポートツールの使い方

Gmail や Outlook ほか IMAPプロトコル が利用可能なプロバイダから ProtonMail  へ メールをインポート 「 ProtonMail インポート アシスタント 」 は Gmail / Yhaoo […]

protonmail-icon

ProtonMail custom domain – 独自ドメインの追加

ProtonMail で 独自ドメイン のメールを送受信する  ProtonMail は「 Plus 」以上の 有料プランで 独自ドメインを追加でき 暗号化される ProtonMail のメールサーバ で 独自ドメインの […]

nas-icon

Synology Diskstation での Resillo Sync 利用方法

P2P タイプのファイル同期ツール Resillo Sync を Synology Diskstation で利用  Resilio Sync は BitTorrent Inc の独立企業として設立された Resilio […]

nas-icon

Synology Diskstation の ダイナミックDNS導入

Synology Diskstation の ダイナミックDNS 導入 と HTTPS 接続 Synology の 独自OS「 DSM 」では DDNS や SSL 証明書 の取得 が非常に 簡略化 されており 小難しい […]





タイトルとURLをコピーしました