フィッシングメール報告 総集編

Security
この記事は約11分で読めます。

これまでに来たフィッシングメールの記録

2025/4/12 追記・改編 これまでの10回の報告を1つにまとめました。

統計情報

これまでのフィッシングメールの統計です。

到着日メール内容(偽装先)フィッシングサイトの場所
123年7月Amazon米・テキサス州・ダラス
223年7月ETCマイレージ
サービス
米・ネバダ州・ラスベガス
323年8月Amazon米・テキサス州・ダラス
423年8月Vpass米・カリフォルニア州
マウンテンビュー
523年8月Vpass米・ユタ州・プロボ
623年9月Vpass東京
823年9月AmazonとVpass東京
923年10月三井住友カードドイツ
フランクフルト/ホムベルク
1023年10月三井住友カード米・ジョージア州
アトランタ
1123年10月Vpass東京
1223年10月Amazon米・ネバダ州・ラスベガス
1323年12月三井住友銀行米・ユタ州・プロボ
1423年12月Amazon米・カリフォルニア州
サンノゼ
7
15
19
22
23-24
25
34
36
38
43
47-48
49-52
23年9月
24年3月
24年5月
24年6月
24年6月
24年7月
24年9月
24年11月
24年12月
25年1月
25年2月
25年3月
Vpass
三井住友カード
ビューカード
三井住友カード
Vpass
三井住友カード
Vpass
Vpass
三井住友カード
三井住友カード
三井住友カード
三井住友カード
米・カリフォルニア州
サンフランシスコ
16
17
24年3月
24年4月
イオン銀行
三井住友銀行・カード
米・カリフォルニア州
サンフランシスコ
1824年4月アマゾン米・カリフォルニア州
サンノゼ
2024年5月アマゾン米・カリフォルニア州
サンノゼ
2124年5月アマゾン香港
2624年7月AMEX大阪
2724年7月三井住友カードシンガポール
2824年7月三菱UFJ銀行ブラジル・サンパウロ
2924年8月ろうきんダイレクト東京
30
33
44
46
24年9月
24年9月
25年1月
25年2月
三井住友カードドイツ・フランクフルト
31
32
40
42
24年9月
24年9月
24年12月
24年12月
三井住友カード
三井住友カード
Vpass
三井住友カード
東京
35
39
24年11月
24年12月
三井住友銀行
三井住友銀行
米・バージニア州
米・アーカンソー州
3724年12月三井住友カード米・ワシントン州
4124年12月ヤマト運輸米・ワシントン州
4525年2月楽天eNAVI香港
5325年4月アマゾン大阪
→ロシア・サンクトぺテルブルク
→米・フロリダ州タンパ
54
55
25年4月
25年4月
三井住友カード
eオリコ
米・カリフォルニア州
サンフランシスコ

文面からは最初は日本人の監修を受けていなかったけど、少しずつ改良洗練されてきているようです。

或いはAI の精度が上がっているのか。

同一の犯罪グループがサイトを変えながら、クレジットカード情報を収集していると思われます。

最初頃のサイトは既に閉鎖されたものもあるかもしれません。

恐らく集められた情報は別の犯罪集団間で互いに売買されているものと思われます。

メールの文面

1種類目

1は、同一のIPアドレスから、異なるドメイン名を使用して合計15通きました。

2023年7月到着、サーバーは米・テキサス州・ダラス

  • メールアドレス : リンク先のドメイン名
  • hrt4cqwaq3f ; amigo-nadejda
  • h5btadvgrup : robo-robo
  • tpxvjxxrrniuhz : reussir-en-couple
  • sbaqbuvha : parachutesalaska
  • vmgabammbaa : rosemarylamberson
  • gfgbuncvbn : shd-pare-brise
  • hrt4cgwqq3f : amigo-nadejda
  • y8shahdg : plantsupporter
  • pchvtxfb : dvbeprintinterfirm
  • cbhrfrje : ecoconsultingcorp
  • cycmrhcd : lesnayapolyana
  • dhcvhkhqjn : ourlittlefarms
  • xqkdgkxut : yimiantie
  • tkdtkjf : fortunetraveling
  • dtqypqx : greatpetlodge

2種類目

2023年7月到着、サーバーは米・ネバダ州・ラスベガス

3種類目

2023年8月到着、サーバーは米・テキサス州・ダラス

phishing mail
phishing mail

jckelectrical

4種類目

2023年8月到着、サーバーは米・カリフォルニア州マウンテンビュー

phishing mail
https://paw.wf/ECdtdC

5種類目

2023年8月到着、サーバーは米・ユタ州・プロボ

phishing mail
https://vepanejp.com/jKted9YheLmX

6種類目

2023年9月到着、サーバーは東京

phishing mail

www.lbanklingmembrepass.com/?X2lYFjj8tv

8種類目

2023年9月到着、サーバーは東京

phishing mail
phishing mail

924oabsf.xyz

9種類目

2023年10月到着、サーバーはドイツ・フランクフルト/ホムベルク

phishing mail 9

acsupp-sumiltomo-mitsui.com/r/7JeDjvl

10種類目

2023年10月到着、サーバーは米ジョージア州・アトランタ

phishing mail10

下記に ” https:// ” をつけたものです

mem-ww3.sapprotoriceoe.com/r/hU7SWf5

11種類目

2023年10月16日に到着

メール本文

Vpass系です

phishing mail11

サイトの情報

リンクで誘導されるサイト名は下記に https:// を追加したものです

vpas.lbanklingmembrepass.com/?zDRcmlWEzo

Shodanの情報

shodan

Censysの情報

censys

フィッシングサイトの位置は東京のようです。

12種類目

2023年10月26日に到着

メール本文

Amazon偽装です。

phishing mail12

日本語はかなり滑らかになっています。

間違っている点は、

誤:「いただけますよう」
正:「いただきますよう」

くらいでしょうか。

サイトの情報

リンクで誘導されるサイト名は下記に https:// を追加したものです。

ntymjt.com

Shodanの情報 CVEが沢山ありました。

shodan

Censysの情報

censys

両者とも、サイトの場所は米ネバダ州ラスベガスとなっています。

13種類目

2023年12月7日 久しぶりに到着、相変わらず迷惑メールに振り分けられています。

メール本文

日本語としては、かなり洗練されてきています。

” Vpassにログイン ” の部分が詐欺サイトへのリンクとなっています。

サイトの情報

ここのドメインは以下の通り。

Shodan

Censys

いずれも、米ユタ州Provoがサーバーの所在地となっています。

14種類目

2023年12月16日 到着

メール本文

Amazonに偽装して、プライム会員の会費を払っていないとのこと。

サイトの情報

ドメインは以下の通りです

Shodan

Censys

サーバー所在地はいずれも米カリフォルニア州サンノゼ(san jose)です。

7, 15, 19, 22, 23, 24, 25, 34, 36, 38, 43, 49, 50, 51, 52種類目

メール本文

7種類目
15種類目
19種類目
22種類目
23種類目
24種類目
25種類目
34種類目
36, 38種類目
43、47、48、49種類目
50、51、52種類目

サイトの情報

ドメインは以下の通り

Shodan

Censys

サーバー所在地はいずれも米カリフォルニア州サン・フランシスコです。

16種類目、17種類目

2024年3月22日 到着(16通目)

2024年4月4日 到着(17通目)

メール本文

16種類目

イオン銀行を名乗るものは初めてです。

17種類目

CDTは米国中部夏時間。

日本語はかなり退化しています。(ツッコミは省略)

三井住友銀行と三井住友カードに偽装

サイトの情報

ドメインは以下の通り

Shodan

Censys

いずれも、米カリフォルニア州サンフランシスコとなっています。

18種類目

2024年4月25日 到着

メール本文

アマゾンに偽装

メールの件名では、「発送しました」となっていますが、キャンセルボタンがあり「キャンセル出来る」ようです。

サイトの情報

ドメインは以下の通り

Shodan

Censys

サイトは米カリフォルニア州にあるようです。

20種類目

2024年5月20日到着

メール本文

アマゾンプライムに偽装しています。

サイトの情報

ドメインは以下の通り

Shodan

Censys

サイトは米カリフォルニア州にあるようです。

21種類目

2024年5月26日到着

メール本文

件名は「発送されました」となっていますが、本文では「購入しようとしました」となっており矛盾があります。

「誰かがあなたのアカウントを使用して」とか、不正使用が分かってるのなら最初から対処しろよとツッコミを入れたくなります。

ちなみに発送者の住所氏名はネット上では有名になっており、某テーマパークの近くの公園です。

サイトの情報

ドメインは以下の通り

Shodan

Censys

サーバーは香港にあるようです。

26種類目

2024年7月7日到着

メール本文

AMEXに偽装

サイトの情報

サーバーは大阪にあるようです。

27種類目

2024年7月20日到着

メール本文

三井住友カードに偽装しています。

よく作り込んでありますが、全てのリンクを踏むと同じフィッシングサイトに誘導されます。

サイトの情報

サイトはシンガポールにあります。

28種類目

2024年7月20日到着

メール本文

三菱UFJ銀行に偽装

サイトの情報

サイトはブラジルにあります。

29種類目

2024年8月24日到着

メール本文

ろうきんダイレクトに偽装

文中のIPアドレスはスイスのチューリヒです。これはあまり関係なさそう。

サイトの情報

フィッシングサイトは東京にあります。

30, 33, 44, 46種類目

2024年9月2日到着

2024年9月10日到着

三井住友カードに偽装

メール本文

30, 33通目

同じ文面です。

44, 46通目

同じ文面です。

サイトの情報

ドメイン名は以下の通り

フィッシングサイトはドイツのフランクフルトにあります。

31, 32, 40, 42種類目

2024年9月3日到着

2024年9月4日到着

三井住友カードに偽装

メール本文

31, 32種類目

張られているリンクは、Basic認証(の自動ログイン記述方法)を悪用する手法で、URLを誤魔化しています。

URLの最初の方は正しいURLに見えますが、この部分はBasic認証のログインに使用するID部分であり、真のURLは最後の方の ” @ ” より後にある ” trewbuabjsgf.com ” の方です。

なので、リンクをクリックすると、smbc-card.comの方には接続されず、trewbuabjsgf.comに接続されてしまいます。

40種類目
42種類目

サイトの情報

フィッシングサイトは東京にあります。

35, 39種類目

別記事にしています。

37種類目

2024年12月15日到着

メール本文

三井住友カードに偽装

サイトの情報

サーバーの位置は米・ワシントン州シアトルです。

41種類目

2024年12月25日到着

メール本文

ヤマト運輸に偽装

サイトの情報

サイトは米・ワシントン州シアトルにあります。

45種類目

2025年2月9日到着

メール本文

楽天e-NAVIに偽装

サイトの情報

サイトは香港にあります。

53種類目

2025年4月6日到着

サーバの位置は、大阪→ロシア・サンクトペテルブルグ→米フロリダ州タンパに多重リダイレクトされてます。

メール本文

54, 55種類目

2025年4月11、21日到着 サーバーは米カリフォルニア州サンフランシコ

メール本文

54種類目
55種類目

コメント

タイトルとURLをコピーしました