ども。こんばんは。
久々にセキュリティねたです。
大体先に誰かが載せてるので書かないですがフィッシングネタです。
着弾したメールが三井住友銀行を騙るものと、Amazonを騙っているのになぜかメールアドレスが三井住友銀行風なものが立て続けに来たので載せてみます。
※両方ともYahoo!メールに届いており、Yahoo!メール上で迷惑メールとして処理されています。
増税前なんでそういう流れもあるのかなー。
では一通目。Amazonを騙りプライムの支払い方法の更新を促し、おそらくクレジットカード情報などを窃取しようとするものかと推測されます。
Receiveヘッダ
Received: from 23[.]247[.]2[.]235 (EHLO a6[.]smdcbc15[.]jp) (23.247.2.235)
by mta732.mail.djm.yahoo.co.jp with SMTP; Fri, 20 Sep 2019 02:16:53 +0900
以下メールの内容。
From: Amazon.co.jp <smbc@a6[.]smdcbc15[.]jp>
To: xxxx@yahoo.co.jp
Date: 2019/9/20, Fri 02:16
Subject: Amazonアカウントを利用制限しています。xxxx@yahoo.co.jpお支払い方法の情報を更新してください。Update default card for your membership.
マイストア | タイムセール | ギフト券
xxxx@yahoo.co.jp様
Amazonプライムをご利用頂きありがとうございます。お客様のAmazonプライム会員資格は、2019/09/19に更新を迎えます。お調べしたところ、会費のお支払いに使用できる有効なクレジットカードがアカウントに登録されていません。クレジットカード情報の更新、新しいクレジットカードの追加については以下の手順をご確認ください。
アカウントサービスからAmazonプライム会員情報を管理するにアクセスします。
Amazonプライムに登録したAmazon.co.jpのアカウントを使用してサインインします。
左側に表示されている「現在の支払方法」の下にある「支払方法を変更する」のリンクをクリックします。
有効期限の更新または新しいクレジットカード情報を入力してください。
Amazonプライムを継続してご利用いただくために、会費のお支払いにご指定いただいたクレジットカードが使用できない場合は、アカウントに登録されている別 のクレジットカードに会費を請求させて頂きます。会費の請求が出来ない場合は、お客様のAmazonプライム会員資格は失効し、特典をご利用できなくなります。Amazon.co.jpカスタマーサービス
支払方法の情報を更新する
いくつかリンクが張ってありリンク先はいずれも以下のようですが、すでにDNSレコードがない模様です。
hxxps://amaoeaomeacjp[.]com/
続いて2通目。三井住友銀行を騙り、SMBCダイレクトの情報を窃取しようとするものかと推測されます。
06-6223-6635は、実際に存在する三井住友銀行のカード発行部?のようです。セキュリティ強化部って・・・。流石にないと思う。。。
ちなみに「smbcajp[.]com」もすでに名前解決ができないようです。
Receiveヘッダ。1件目と似通っていますね。
Received: from 23[.]247[.]114[.]211 (EHLO a5[.]smdcbc22[.]jp) (23.247.114.211)
by mta703.mail.djm.yahoo.co.jp with SMTP; Sun, 22 Sep 2019 20:22:18 +0900
以下メール内容。凝ってますね。凝ってるというか本物のコピペですかね?
From: 三井住友銀行 <smbc@a5[.[smdcbc22[.]jp>
To: xxxx@yahoo.co.jp
Date: 2019/9/22, Sun 20:21
Subject: 【重要】「三井住友銀行の口座」カード・通帳一時利用停止、再開のお手続きの設定してください。xxxx@yahoo.co.jp消費税率引き上げに伴うSMBCダイレクトの各種手数料改定について、お客様の【三井住友銀行の口座】セキュリティ強化、カード・通帳一時利用停止、再開のお手続きの設定してください。
ご入力いただきました内容で所定の審査をすすめさせていただきます。
ご確認については、こちらからご確認ください。
hxxps[:]//smbcajp[.]com
(ご注意)
このメールアドレスは送信専用です。
返信をいただいてもご回答できませんのでご了承ください。
★☆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━☆★
このメールは、【三井住友銀行の口座】セキュリティ強化、カード・通帳一時利用停止、再開のお手続きの方へ送信させていただいております。
ご不明な点がございましたらお手数ですが下記までご連絡をお願いいたします。
───────────────────────────────────
三井住友銀行株式会社
セキュリティ強化部 06-6223-6635
受付時間:9:00?17:00 (土・日・祝・12/30・1/3休)
★☆━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━☆★※再開のお手続きのお申込みに際して、会員規約第46条に則り、貸金業法第17条
第6項および同法第18条第3項に規定された一定期間における貸付け及び
弁済その他の取引の状況を記載した電磁的書面を「ご利用代金明細書」で
通知することについて同意いただいたことをお知らせ致します。
最近、「貴様」とか書いたふざけたメールは減りましたが、本物っぽいのが増えており、油断すると踏みそうになります。
上記2件とも、9/23時点リンク先が死んでいるようですが、ドメイン自体は直近で取得されたようですね。数字部分を変えて複数ありそう(未確認です)。
ちなみに、メールサーバは両方ともglobalfrag.comのネームサーバに逆引き登録されています。多分アメリカのレンタルサーバ?かな。
ではでは。またの機会に。
同じメールが着たので検索をしてみたら…やはりですね〜。
両方とも届きました。
docomoメール宛です。
Amazonは、以前、開けようとしたらセキュリティ(4G利用時)が作動して事なきを得ましたが…
皆さまも気を付けていただきたいですね。
因みに、三井住友の方のアドレスは
admin@a3.5n47.cn
それと、Amazonは似た様なのでプライム会員ではなくアカウント云々のも着ていました。
匿名さん
コメントありがとうございます。
あちこちばらまかれているようですね。
少しでも誰かのお役に立てたなら嬉しいです。
どんどん本物と見分けがつかなくなってきていますので、油断禁物ですね。