MUFGカードのフィッシングメールが届いた。

Reports-icon
LINEで送る
Pocket

MUFGカードのフィッシングメールを調査

Gmailの迷惑メールに振り分けられていたが、【重要:必ずお読みください】というタイトルで、2019年5月24日付けでMUFGを騙るフィッシングメールが届いていた。
ちなみにフィッシングメールの「フィッシング」は「釣り(Fishing)」ではなく「詐欺(Phishing)」のこと。
ある意味、釣られてしまうので「Fishing」でも問題ない気もするが、堂々と「Fishing」と言ってしまうと、ちょっと恥かしいかも。

で、クレジットカード系のフィッシングメールは初めて見たので、興味本位で少し調べてみた。



メール本文は下記のような内容。

MUFGカードWEBサービスご登録確認

いつも MUFGカードWEBサービスをご利用いただき、ありがとうございます。
この度、MUFGカードWEBサービスに対し、第三者によるアクセスを確認いたしました。
万全を期すため、本日、お客様のご登録IDを以下のとおり暫定的に変更させていただきました。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。

http://www.xxxx-xx.xxx/xxxxxx/xx

上記MUFGカードWEBサービスIDは弊社にて自動採番しているものですので、 弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、 大変お手数ではございますが、下記URLからログインいただき、 任意のIDへの再変更をお願いいたします。

なお、新たなID?パスワードは、セキュリティの観点より「8桁」のご登録を強くおすすめいたします。

http://www.xxxx-xx.xxx/xxxxxx/xx

*他のサイトでも同じIDをご利用の場合には、念のため異なるIDへの変更をおすすめいたします。

よくある自動翻訳の文章と異なり、自然な日本語文章でもっともらしい内容になっているが、「弊社は、」に対する述語が無いなど詰めが甘い。

はじめはURLが「https://」になっていないことも疑問に感じたが、MUFGのログインするカード選択ページは「http://www.cr.mufg.jp/select/login.html」で、公式サイトも保護されていなかった。

送信元は  MUFGカード <takeshi-kimiya@ai.tnc.ne.jp>

ドメインを検索してみたものの該当なし。
ちなみにクレジットカード会社が個人名でメールを送ってくることはない。

宛先は "****.*****" <****.*****@jbinc.co.jp>

表示されている氏名は、名前の部分は合っているものの名字が異なっており、メールのドメインも適当で、このドメインも登録は無し。

そこでメールヘッダーを確認。

Received: from m-out-com.basmail.jp (m-out-com.basmail.jp. [2403:7800:5021::57])
by mx.google.com with ESMTPS id ********.2019.05.24.10.07.29
for <****.****@gmail.com>
Fri, 24 May 2019 10:07:30 -0700 (PDT)

「m-out-com」を検索すると東京本社の「エムアウト」という企業がヒットするものの無関係っぽいので、社団法人日本ネットワークインフォメーションセンター(JPNIC)でIPアドレスを検索。

社団法人日本ネットワークインフォメーションセンター(JPNIC)link

mufj-phishing001

送信元は東証一部の「株式会社TOKAIコミュニケーションズ」。

偽装していなければ使用したメールクライアントソフトは「Microsoft Outlook 16.0」。

mufj-phishing006

Gmailであればデカデカと「このメールにはご注意ください」とフィッシングメールであることを警告してくるだけでなく、リンクも削除されるので、酔狂でなければアクセスすることはないはず。

mufj-phishing003

記載されているURLを強引に開こうとすれば、今度はセキュリティソフト(ESET Internet Security)が反応する。

mufj-phishing005

スマホの無料セキュリティアプリ Sophos Mobile Securityもきっちり仕事をしている。

mufj-phishing007

VirusTotalでメールに記載されていたURLを調べたところ「Sophos」や「BitDefender」など3件のセキュリティアプリが「Malicious(悪意のある)」もしくは「Phishing」と判定。

mufj-phishing008

次に「Aguse.jp」で調べてみたら、メタタグは公式のMUFGと全く同じという手の込みよう。

mufj-phishing013

IPアドレスの管理元は香港で、記載されている住所を検索すると「HSBC(香港上海銀行)」の住所と一致した。

mufj-phishing010

記載されたURLにアクセスしてみると、公式サイトとそっくり!
ただ、現在公式サイトでは「My JCB」のアイコンは消えている。

mufj-phishing011

本来のMUFGカードは、カードブランド選択後に「ID」と「パスワード」でログインし、更に「生年月日」または「電話番号」での認証が必要になるのだが、さすがに詐欺サイトはログインなしにカード番号の入力フォームが表示され、URLも保護されていない「http://」のままになっているものの、MUFG、DC、NICOSなど各ブランドのフォームデザインも同じ。

mufj-phishing016

フォーム入力後もURLが保護されていないだけで、よく見かける動作をする。

mufj-phishing012

ソースを見ても日本語のカタカナや漢字が使われているのだが、隠しきれていなかった(笑)
「错误信息」とは「エラー情報」のことらしい。

mufj-phishing014

Aguseの「ブラックリスト判定結果」では「非営利団体SPAMHAUSプロジェクトによるIPアドレスベースの送信者ブラックリスト(https://www.spamhaus.org/sbl/)」に該当。

このフィッシングメールは手当たり次第に発送されているのか、MUFGカード会員宛に発送されているのかが気になるところだが、公式サイトでも注意喚起されており、Gmailでもフィッシング判定されているので、普通にセキュリティ対策を行っていれば、まず詐欺に合うことはないはず。

またMUFJの場合、カードの不正利用が発覚した時点でカードは利用不能になる。

Reports-icon

またカードが不正利用された。

MUFGの不正使用検知システムで不正利用が発覚して実害なし 昨年の12月に2年以上も前に切り替えを行った「Amazon Master クラシック」が欧州で不正利 … “またカードが不正利用された。” の続きを読む





レポート

パスワードの管理 – Password Manage

パスワードの管理方法 と 漏洩 リスク 本人認証をする上で最も使用されている方法が ログイン ID と パスワード の入力。 最も原始的な パスワード 解析は、 … “パスワードの管理 – Password Manage” の続きを読む

Reports-icon

Essential Phone 3度目のメジャーバージョンアップ

Essential Phone  が Andoroid 10 へ バージョンアップ 2019年9月3日に「Pixel」向けに配信が開始された Ando … “Essential Phone 3度目のメジャーバージョンアップ” の続きを読む

Reports-icon

Googleがやらかしたコアアップデートの影響

5ヶ月間で3度のコアアップデートによりトラフィックが半減 Googleの検索アルゴリズムは毎日のように更新されており、年に数回の激震が走るのだが、サイトのトラフ … “Googleがやらかしたコアアップデートの影響” の続きを読む

Microsoft-OneDrive-icon

OneDriveの黒歴史

OneDriveが断行してきた改悪と幻の容量無制限 先日Dropboxの無料プランで利用できるデバイスが3台までに制限され、有料プランDropbox Plusが … “OneDriveの黒歴史” の続きを読む

okayado_icon_80

ココナラでイラスト作成を依頼

姉妹サイト「オカヤドカリ飼ってます。」のアイコンをココナラで作成依頼 まだ MacのLC575を使っていた頃、イラストレーターをしていた知人に「どうしたら絵が書 … “ココナラでイラスト作成を依頼” の続きを読む





LINEで送る
Pocket