これまでに来たフィッシングメールの記録
2025/4/12 追記・改編 これまでの10回の報告を1つにまとめました。
統計情報
これまでのフィッシングメールの統計です。
到着日 | メール内容(偽装先) | フィッシングサイトの場所 | |
1 | 23年7月 | Amazon | 米・テキサス州・ダラス |
2 | 23年7月 | ETCマイレージ サービス | 米・ネバダ州・ラスベガス |
3 | 23年8月 | Amazon | 米・テキサス州・ダラス |
4 | 23年8月 | Vpass | 米・カリフォルニア州 マウンテンビュー |
5 | 23年8月 | Vpass | 米・ユタ州・プロボ |
6 | 23年9月 | Vpass | 東京 |
8 | 23年9月 | AmazonとVpass | 東京 |
9 | 23年10月 | 三井住友カード | ドイツ フランクフルト/ホムベルク |
10 | 23年10月 | 三井住友カード | 米・ジョージア州 アトランタ |
11 | 23年10月 | Vpass | 東京 |
12 | 23年10月 | Amazon | 米・ネバダ州・ラスベガス |
13 | 23年12月 | 三井住友銀行 | 米・ユタ州・プロボ |
14 | 23年12月 | Amazon | 米・カリフォルニア州 サンノゼ |
7 15 19 22 23-24 25 34 36 38 43 47-48 49-52 | 23年9月 24年3月 24年5月 24年6月 24年6月 24年7月 24年9月 24年11月 24年12月 25年1月 25年2月 25年3月 | Vpass 三井住友カード ビューカード 三井住友カード Vpass 三井住友カード Vpass Vpass 三井住友カード 三井住友カード 三井住友カード 三井住友カード | 米・カリフォルニア州 サンフランシスコ |
16 17 | 24年3月 24年4月 | イオン銀行 三井住友銀行・カード | 米・カリフォルニア州 サンフランシスコ |
18 | 24年4月 | アマゾン | 米・カリフォルニア州 サンノゼ |
20 | 24年5月 | アマゾン | 米・カリフォルニア州 サンノゼ |
21 | 24年5月 | アマゾン | 香港 |
26 | 24年7月 | AMEX | 大阪 |
27 | 24年7月 | 三井住友カード | シンガポール |
28 | 24年7月 | 三菱UFJ銀行 | ブラジル・サンパウロ |
29 | 24年8月 | ろうきんダイレクト | 東京 |
30 33 44 46 | 24年9月 24年9月 25年1月 25年2月 | 三井住友カード | ドイツ・フランクフルト |
31 32 40 42 | 24年9月 24年9月 24年12月 24年12月 | 三井住友カード 三井住友カード Vpass 三井住友カード | 東京 |
35 39 | 24年11月 24年12月 | 三井住友銀行 三井住友銀行 | 米・バージニア州 米・アーカンソー州 |
37 | 24年12月 | 三井住友カード | 米・ワシントン州 |
41 | 24年12月 | ヤマト運輸 | 米・ワシントン州 |
45 | 25年2月 | 楽天eNAVI | 香港 |
53 | 25年4月 | アマゾン | 大阪 →ロシア・サンクトぺテルブルク →米・フロリダ州タンパ |
54 55 | 25年4月 25年4月 | 三井住友カード eオリコ | 米・カリフォルニア州 サンフランシスコ |
文面からは最初は日本人の監修を受けていなかったけど、少しずつ改良洗練されてきているようです。
或いはAI の精度が上がっているのか。
同一の犯罪グループがサイトを変えながら、クレジットカード情報を収集していると思われます。
最初頃のサイトは既に閉鎖されたものもあるかもしれません。
恐らく集められた情報は別の犯罪集団間で互いに売買されているものと思われます。
メールの文面
1種類目
1は、同一のIPアドレスから、異なるドメイン名を使用して合計15通きました。
2023年7月到着、サーバーは米・テキサス州・ダラス

- メールアドレス : リンク先のドメイン名
- hrt4cqwaq3f ; amigo-nadejda
- h5btadvgrup : robo-robo
- tpxvjxxrrniuhz : reussir-en-couple
- sbaqbuvha : parachutesalaska
- vmgabammbaa : rosemarylamberson
- gfgbuncvbn : shd-pare-brise
- hrt4cgwqq3f : amigo-nadejda
- y8shahdg : plantsupporter
- pchvtxfb : dvbeprintinterfirm
- cbhrfrje : ecoconsultingcorp
- cycmrhcd : lesnayapolyana
- dhcvhkhqjn : ourlittlefarms
- xqkdgkxut : yimiantie
- tkdtkjf : fortunetraveling
- dtqypqx : greatpetlodge
2種類目
2023年7月到着、サーバーは米・ネバダ州・ラスベガス


collab-landsyn.com
3種類目
2023年8月到着、サーバーは米・テキサス州・ダラス


jckelectrical
4種類目
2023年8月到着、サーバーは米・カリフォルニア州マウンテンビュー

5種類目
2023年8月到着、サーバーは米・ユタ州・プロボ

6種類目
2023年9月到着、サーバーは東京

www.lbanklingmembrepass.com/?X2lYFjj8tv
8種類目
2023年9月到着、サーバーは東京


924oabsf.xyz
9種類目
2023年10月到着、サーバーはドイツ・フランクフルト/ホムベルク

acsupp-sumiltomo-mitsui.com/r/7JeDjvl
10種類目
2023年10月到着、サーバーは米ジョージア州・アトランタ

下記に ” https:// ” をつけたものです
mem-ww3.sapprotoriceoe.com/r/hU7SWf5
11種類目
2023年10月16日に到着
メール本文
Vpass系です

サイトの情報
リンクで誘導されるサイト名は下記に https:// を追加したものです
vpas.lbanklingmembrepass.com/?zDRcmlWEzo
Shodanの情報

Censysの情報

フィッシングサイトの位置は東京のようです。
12種類目
2023年10月26日に到着
メール本文
Amazon偽装です。

日本語はかなり滑らかになっています。
間違っている点は、
誤:「いただけますよう」
正:「いただきますよう」
くらいでしょうか。
サイトの情報
リンクで誘導されるサイト名は下記に https:// を追加したものです。
ntymjt.com
Shodanの情報 CVEが沢山ありました。

Censysの情報

両者とも、サイトの場所は米ネバダ州ラスベガスとなっています。
13種類目
2023年12月7日 久しぶりに到着、相変わらず迷惑メールに振り分けられています。
メール本文
日本語としては、かなり洗練されてきています。

” Vpassにログイン ” の部分が詐欺サイトへのリンクとなっています。
サイトの情報
ここのドメインは以下の通り。
myjcb-checkjcbpass.com
Shodan

Censys

いずれも、米ユタ州Provoがサーバーの所在地となっています。
14種類目
2023年12月16日 到着
メール本文
Amazonに偽装して、プライム会員の会費を払っていないとのこと。

サイトの情報
ドメインは以下の通りです
hzshopping.com
Shodan

Censys

サーバー所在地はいずれも米カリフォルニア州サンノゼ(san jose)です。
7, 15, 19, 22, 23, 24, 25, 34, 36, 38, 43, 49, 50, 51, 52種類目
メール本文
7種類目

15種類目

19種類目

22種類目

23種類目

24種類目

25種類目

34種類目

36, 38種類目

43、47、48、49種類目

50、51、52種類目

サイトの情報
ドメインは以下の通り
me-qr.com
Shodan

Censys

サーバー所在地はいずれも米カリフォルニア州サン・フランシスコです。
16種類目、17種類目
2024年3月22日 到着(16通目)
2024年4月4日 到着(17通目)
メール本文
16種類目
イオン銀行を名乗るものは初めてです。

17種類目
CDTは米国中部夏時間。
日本語はかなり退化しています。(ツッコミは省略)
三井住友銀行と三井住友カードに偽装

サイトの情報
ドメインは以下の通り
cutt.ly
Shodan

Censys

いずれも、米カリフォルニア州サンフランシスコとなっています。
18種類目
2024年4月25日 到着
メール本文
アマゾンに偽装
メールの件名では、「発送しました」となっていますが、キャンセルボタンがあり「キャンセル出来る」ようです。

サイトの情報
ドメインは以下の通り
lppqkqj.cn
Shodan

Censys

サイトは米カリフォルニア州にあるようです。
20種類目
2024年5月20日到着
メール本文
アマゾンプライムに偽装しています。

サイトの情報
ドメインは以下の通り
idea-green.com
Shodan

Censys

サイトは米カリフォルニア州にあるようです。
21種類目
2024年5月26日到着
メール本文
件名は「発送されました」となっていますが、本文では「購入しようとしました」となっており矛盾があります。
「誰かがあなたのアカウントを使用して」とか、不正使用が分かってるのなら最初から対処しろよとツッコミを入れたくなります。

ちなみに発送者の住所氏名はネット上では有名になっており、某テーマパークの近くの公園です。

サイトの情報
ドメインは以下の通り
stwhar.com
Shodan

Censys

サーバーは香港にあるようです。
26種類目
2024年7月7日到着
メール本文
AMEXに偽装

サイトの情報


サーバーは大阪にあるようです。
27種類目
2024年7月20日到着
メール本文
三井住友カードに偽装しています。





よく作り込んでありますが、全てのリンクを踏むと同じフィッシングサイトに誘導されます。
サイトの情報
サイトはシンガポールにあります。


28種類目
2024年7月20日到着
メール本文
三菱UFJ銀行に偽装

サイトの情報
サイトはブラジルにあります。

29種類目
2024年8月24日到着
メール本文
ろうきんダイレクトに偽装

文中のIPアドレスはスイスのチューリヒです。これはあまり関係なさそう。

サイトの情報
フィッシングサイトは東京にあります。

30, 33, 44, 46種類目
2024年9月2日到着
2024年9月10日到着
三井住友カードに偽装
メール本文
30, 33通目
同じ文面です。

44, 46通目
同じ文面です。

サイトの情報
ドメイン名は以下の通り
neon.ly
フィッシングサイトはドイツのフランクフルトにあります。


31, 32, 40, 42種類目
2024年9月3日到着
2024年9月4日到着
三井住友カードに偽装
メール本文
31, 32種類目

張られているリンクは、Basic認証(の自動ログイン記述方法)を悪用する手法で、URLを誤魔化しています。
Basic認証のオートログイン時のURL記載方法は、
basic認証ID : basic認証パスワード @ 接続先URL
なおパスワードは省略出来、今回は設定されていません

URLの最初の方は正しいURLに見えますが、この部分はBasic認証のログインに使用するID部分であり、真のURLは最後の方の ” @ ” より後にある ” trewbuabjsgf.com ” の方です。
なので、リンクをクリックすると、smbc-card.comの方には接続されず、trewbuabjsgf.comに接続されてしまいます。
40種類目

42種類目

サイトの情報
フィッシングサイトは東京にあります。


35, 39種類目
別記事にしています。
37種類目
2024年12月15日到着
メール本文
三井住友カードに偽装

サイトの情報
サーバーの位置は米・ワシントン州シアトルです。


41種類目
2024年12月25日到着
メール本文
ヤマト運輸に偽装

サイトの情報
サイトは米・ワシントン州シアトルにあります。


45種類目
2025年2月9日到着
メール本文
楽天e-NAVIに偽装

サイトの情報
サイトは香港にあります。

53種類目
2025年4月6日到着
サーバの位置は、大阪→ロシア・サンクトペテルブルグ→米フロリダ州タンパに多重リダイレクトされてます。
メール本文


54, 55種類目
2025年4月11、21日到着 サーバーは米カリフォルニア州サンフランシコ
shorturl.at
メール本文
54種類目

55種類目

コメント