新生銀行を名乗るフィッシング詐欺メール2015/05/05 16:08

送られてきたメールのヘッダ情報の一部(クリックで拡大)

新生銀行を名乗るフィッシング詐欺メール

クリックで拡大
このところ銀行を名乗るフィッシング詐欺メールが立て続けに来る。
少し前まではみずほ銀行が多かったが、今は新生銀行を名乗るものがほとんど。毎日複数来る。
今日も来ていた。htmlメールで、送信者アドレスはaccount@shinseibank.com となっている。shinseibank.com は実際に新生銀行が使っているドメインなので、引っかかる人もいるだろうから、情報としてここにまとめておく。

今朝来たメールはタイトルが「 【新生銀行】メールアドレスの確認」で、送信者は「新生銀行 」となっている
htmlメールの中身がこれ↑。
銀行から来るメールが「こんにちは!」で始まるわけがないだろうにね。詰めが甘いというか……。

このメールはhtmlなので、僕のメールソフトでは本文は表示されないが(htmlのみのメールは本文を表示しないように設定してある)、今回は敢えてブラウザで表示させてみた↑

このメールのヘッダ情報を見ると↓こうなっている


クリックで拡大
実際の送信者アドレスは163.com というドメインから送られていることが分かる。
しかし、From: だけでなく、Reply-To: も shinseibank.com なので、このメールに「返信」すると、送信者ではなく新生銀行にメールが届く。つまり、返信する者は最初から切り捨てているわけだ。

次に、htmlメールのソースを見てみる。クリックすると飛んでいく先はどこなのか?
表示ではあたかもhttps://pdirect08.shinseibank.com/~~~~ にアクセスするかのようだが、ソースのa href の先を見ると、haoluosc.com というドメイン名のサーバーであることが分かる↓ そこでJava Scriptを起動する仕組み。

クリックで拡大
リンク先の真のURLは……
では、メールを送信している 163.com と リンク先の haoluosc.com とは何者なのか? Whois情報を見るとこうなっていた↓
クリックで拡大

クリックで拡大

どちらも所有者の実体は中国にある。
163.comのレジストラーであるMarkMonitorという会社は、企業の情報秘匿やセキュリティ保護を代行する会社らしい。
当初はこの会社にWhois情報を代行させて所有者情報を隠していたと思われる。しかし、こうした犯罪行為が発覚したため、MarkMonitor社でも情報を公開したのではないだろうか。

ちなみに送りつけてきたアドレスは銀行に登録しているものではなく、楽天やYahoo!など、ネットショップ関連で使っているもの。つまり、アドレス流出は銀行からではない。
銀行に登録していないアドレス宛に銀行からメールが来るわけはないので、その点からもおかしいとすぐに分かるわけだが、このように、メールアドレスは複数使い分けることが大切だ。
重要度別にいくつも使い分けて、重要度下位のアドレスはいつでも切り捨てられるようにしておくとよい。

そして何よりも重要なのは、
  • htmlメールは使わない、すぐに開かない
  • 少しでも怪しいと思うメールには触らず完全削除
  • 少しでも不審なメールの要求には応対しない
……ということ。

被害者でもある新生銀行ではトップページで注意喚起している↓

クリックで拡大

コメント

トラックバック

このエントリのトラックバックURL: http://gabasaku.asablo.jp/blog/2015/05/05/7627543/tb

※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。