福岡銀行を謳うフィッシング

ども。こんばんは。

【注意喚起】
福岡銀行をかたる偽メール(フィッシングメール)が不特定多数のお客様あてに送信されていますので、ご注意ください。

うちにも届いていました。

安定の「貴様」呼ばわり!

fukuoka-phish-01

エンベロープは・・・

Received: from cb.org (unknown [182.135.154.62]) by xxxxx

です。中国ですね。安定のChina Telecom。

やっぱりX-MailerはOutlook Expressなんだなぁ。

X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

リターンパスの163.comってのは「網易」っていう中国のポータルサイトっぽいですね。

Return-Path: sva2@163.com

次に本文。本文はMimeエンコードされていますね。
Base64をデコードしてソースを見ていると・・・こんな感じ。

<p><a href=”hxxp://direct[.]fukuokabank[.]co[.]jp[.]nerna[.]cc/0177/B/B/B/C100/KBC11BN000B000.htm”>https://direct.fukuokabank.co.jp/0177/B/B/B/C100/KBC11BN000B000.do</a></p><span style=”POSITION: absolute; TOP: -7856px; LEFT: -7720px”>

「direct.fukuokabank[.]co[.]jp[.]nerna[.]cc」、今現在(8/21 19:30)のIPアドレスは「103[.]56[.]19[.]39」です。

残念ながら今現在はサーバには繋がらないようですが、誤って踏まないようにお気をつけくださいね。

— 追記 —

表示されてない文字列が仕込まれていて気になっていたので追加調査しました。

styleの指定ではるか画面外に表示させているspanの中身を表に出しました。

fukuoka-phish-02

「DYMBuYaAaPEMFcjKvQIgiQgiDPvPAvUoRgTvNWakkQNmBLFkQvv」は共通っぽいですね。

何かのエンコードしたデータなのかな?
と思って調べていると、これ、りそなとか京都銀行とか静岡銀行とかジャパンネットとかいろんなフィッシングにもくっついてるみたいですね。

同じ攻撃者なのかな。気になるけどお腹が空いたので今日はここまで。

ではでは。またの機会に。

「福岡銀行を謳うフィッシング」への1件のフィードバック

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください