ども。こんばんは。

【注意喚起】
福岡銀行をかたる偽メール(フィッシングメール)が不特定多数のお客様あてに送信されていますので、ご注意ください。

うちにも届いていました。

安定の「貴様」呼ばわり!

fukuoka-phish-01

エンベロープは・・・

Received: from cb.org (unknown [182.135.154.62]) by xxxxx

です。中国ですね。安定のChina Telecom。

やっぱりX-MailerはOutlook Expressなんだなぁ。

X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

リターンパスの163.comってのは「網易」っていう中国のポータルサイトっぽいですね。

Return-Path: sva2@163.com

次に本文。本文はMimeエンコードされていますね。
Base64をデコードしてソースを見ていると・・・こんな感じ。

<p><a href=”hxxp://direct[.]fukuokabank[.]co[.]jp[.]nerna[.]cc/0177/B/B/B/C100/KBC11BN000B000.htm”>https://direct.fukuokabank.co.jp/0177/B/B/B/C100/KBC11BN000B000.do</a></p><span style=”POSITION: absolute; TOP: -7856px; LEFT: -7720px”>

「direct.fukuokabank[.]co[.]jp[.]nerna[.]cc」、今現在(8/21 19:30)のIPアドレスは「103[.]56[.]19[.]39」です。

残念ながら今現在はサーバには繋がらないようですが、誤って踏まないようにお気をつけくださいね。

— 追記 —

表示されてない文字列が仕込まれていて気になっていたので追加調査しました。

styleの指定ではるか画面外に表示させているspanの中身を表に出しました。

fukuoka-phish-02

「DYMBuYaAaPEMFcjKvQIgiQgiDPvPAvUoRgTvNWakkQNmBLFkQvv」は共通っぽいですね。

何かのエンコードしたデータなのかな?
と思って調べていると、これ、りそなとか京都銀行とか静岡銀行とかジャパンネットとかいろんなフィッシングにもくっついてるみたいですね。

同じ攻撃者なのかな。気になるけどお腹が空いたので今日はここまで。

ではでは。またの機会に。