フィッシングメール10種類目が来ました。最近適当な間隔を空けて、順調に到着しています。
メール本文
文面は9種類目と全く同じ内容です
フィッシングサイト
下記に ” https:// ” をつけたものです
mem-ww3.sapprotoriceoe.com/r/hU7SWf5
shodan
shodanでは米ジョージア州アトランタにサーバーがあるようです。(CDCがある都市ですね。関係ないけど)
Censys
censysでもやはりジョージア州アトランタ。
これまでのまとめ
これまでのフィッシングメールの統計です。
到着日 | メール内容 | フィッシングサイトの場所 | |
1 | 23年7月 | Amazonに偽装 | 米・テキサス州・ダラス |
2 | 23年7月 | ETCマイレージ サービスに偽装 | 米・ネバダ州・ラスベガス |
3 | 23年8月 | Amazonに偽装 | 米・テキサス州・ダラス |
4 | 23年8月 | Vpassに偽装 | 米・カリフォルニア州 マウンテンビュー |
5 | 23年8月 | Vpassに偽装 | 米・ユタ州・プロボ |
6 | 23年9月 | Vpassに偽装 | 東京 |
7 | 23年9月 | Vpassに偽装 | 米・カリフォルニア州 サンフランシスコ |
8 | 23年9月 | AmazonとVpass | 東京 |
9 | 23年10月 | 三井住友カード に偽装 | ドイツ フランクフルト/ホムベルク |
10 | 23年10月 | 三井住友カード に偽装 | 米・ジョージア州 アトランタ |
11 | 23年10月 | Vpassに偽装 | 東京 |
12 | 23年10月 | Amazonに偽装 | 米・ネバダ州・ラスベガス |
13 | 23年12月 | 三井住友銀行に偽装 | 米・ユタ州・プロボ |
14 | 23年12月 | Amazonに偽装 | 米・カリフォルニア州 サンノゼ |
15 19 22 23 24 25 34 36 | 24年3月 24年5月 24年6月 24年6月 24年6月 24年7月 24年9月 24年11月 | 三井住友カードに偽装 ビューカード 三井住友カード Vpass Vpass 三井住友カード Vpass Vpass | 米・カリフォルニア州 サンフランシスコ |
16 17 | 24年3月 24年4月 | イオン銀行に偽装 三井住友銀行・カードに偽装 | 米・カリフォルニア州 サンフランシスコ |
18 | 24年4月 | アマゾン | 米・カリフォルニア州 サンノゼ |
20 | 24年5月 | アマゾン | 米・カリフォルニア州 サンノゼ |
21 | 24年5月 | アマゾン | 香港 |
26 | 24年7月 | AMEXに偽装 | 大阪 |
27 | 24年7月 | 三井住友カードに偽装 | シンガポール |
28 | 24年7月 | 三菱UFJ銀行に偽装 | ブラジル・サンパウロ |
29 | 24年8月 | ろうきんダイレクトに偽装 | 東京 |
30 33 | 24年9月 24年9月 | 三井住友カードに偽装 三井住友カードに偽装 | ドイツ・フランクフルト |
31 32 | 24年9月 24年9月 | 三井住友カードに偽装 三井住友カードに偽装 | 東京 |
35 | 24年11月 | 三井住友銀行に偽装 | 米・バージニア州 |
1は、同一のIPアドレスから、異なるドメイン名を使用して合計15通きました。
文面からは最初は日本人の監修を受けていなかったけど、少しずつ改良洗練されてきているようです。
或いはAI の精度が上がっているのか。
同一の犯罪グループがサイトを変えながら、クレジットカード情報を収集していると思われます。
最初頃のサイトは既に閉鎖されたものもあるかもしれません。
恐らく集められた情報は別の犯罪集団間で互いに売買されているものと思われます。
追加
11種類目以降は以下に追記していきます。(上の表には追加で反映させます)
11種類目
2023年10月16日に到着
メール本文
Vpass系です
サイトの情報
リンクで誘導されるサイト名は下記に https:// を追加したものです
vpas.lbanklingmembrepass.com/?zDRcmlWEzo
Shodanの情報
Censysの情報
フィッシングサイトの位置は東京のようです。
12種類目
2023年10月26日に到着
メール本文
Amazon偽装です。
日本語はかなり滑らかになっています。
間違っている点は、
誤:「いただけますよう」
正:「いただきますよう」
くらいでしょうか。
サイトの情報
リンクで誘導されるサイト名は下記に https:// を追加したものです。
ntymjt.com
Shodanの情報 CVEが沢山ありました。
Censysの情報
両者とも、サイトの場所は米ネバダ州ラスベガスとなっています。
13種類目
2023年12月7日 久しぶりに到着、相変わらず迷惑メールに振り分けられています。
メール本文
日本語としては、かなり洗練されてきています。
” Vpassにログイン ” の部分が詐欺サイトへのリンクとなっています。
サイトの情報
ここのドメインは以下の通り。
myjcb-checkjcbpass.com
Shodan
Censys
いずれも、米ユタ州Provoがサーバーの所在地となっています。
14種類目
2023年12月16日 到着
メール本文
Amazonに偽装して、プライム会員の会費を払っていないとのこと。
サイトの情報
ドメインは以下の通りです
hzshopping.com
Shodan
Censys
サーバー所在地はいずれも米カリフォルニア州サンノゼ(san jose)です。
15, 19, 22, 23, 24, 25, 34,36種類目
2024年3月10日 到着 久しぶりです。
到着日 | |
15 | 2024年3月310 |
19 | 2024年5月3日 |
22 | 2024年6月6日 |
23 | 2024年6月18日 |
24 | 2024年6月25日 |
25 | 2024年7月4日 |
34 | 2024年9月15日 |
メール本文
15種類目
19種類目
22種類目
23種類目
24種類目
25種類目
34種類目
36種類目
サイトの情報
ドメインは以下の通り
me-qr.com
Shodan
Censys
サーバー所在地はいずれも米カリフォルニア州サン・フランシスコです。
16種類目、17種類目
2024年3月22日 到着(16通目)
2024年4月4日 到着(17通目)
メール本文
16種類目
イオン銀行を名乗るものは初めてです。
17種類目
CDTは米国中部夏時間。
日本語はかなり退化しています。(ツッコミは省略)
三井住友銀行と三井住友カードに偽装
サイトの情報
ドメインは以下の通り
cutt.ly
Shodan
Censys
いずれも、米カリフォルニア州サンフランシスコとなっています。
18種類目
2024年4月25日 到着
メール本文
アマゾンに偽装
メールの件名では、「発送しました」となっていますが、キャンセルボタンがあり「キャンセル出来る」ようです。
サイトの情報
ドメインは以下の通り
lppqkqj.cn
Shodan
Censys
サイトは米カリフォルニア州にあるようです。
20種類目
2024年5月20日到着
メール本文
アマゾンプライムに偽装しています。
サイトの情報
ドメインは以下の通り
idea-green.com
Shodan
Censys
サイトは米カリフォルニア州にあるようです。
21種類目
2024年5月26日到着
メール本文
件名は「発送されました」となっていますが、本文では「購入しようとしました」となっており矛盾があります。
「誰かがあなたのアカウントを使用して」とか、不正使用が分かってるのなら最初から対処しろよとツッコミを入れたくなります。
ちなみに発送者の住所氏名はネット上では有名になっており、某テーマパークの近くの公園です。
サイトの情報
ドメインは以下の通り
stwhar.com
Shodan
Censys
サーバーは香港にあるようです。
26種類目
2024年7月7日到着
メール本文
AMEXに偽装
サイトの情報
サーバーは大阪にあるようです。
27種類目
2024年7月20日到着
メール本文
三井住友カードに偽装しています。
よく作り込んでありますが、全てのリンクを踏むと同じフィッシングサイトに誘導されます。
サイトの情報
サイトはシンガポールにあります。
28種類目
2024年7月20日到着
メール本文
三菱UFJ銀行に偽装
サイトの情報
サイトはブラジルにあります。
29種類目
2024年8月24日到着
メール本文
ろうきんダイレクトに偽装
文中のIPアドレスはスイスのチューリヒです。これはあまり関係なさそう。
サイトの情報
フィッシングサイトは東京にあります。
30, 33種類目
2024年9月2日到着
2024年9月10日到着
三井住友カードに偽装
メール本文
同じ文面です。
サイトの情報
フィッシングサイトはドイツのフランクフルトにあります。
31, 32種類目
2024年9月3日到着
2024年9月4日到着
三井住友カードに偽装
メール本文
同じ文面です。
張られているリンクは、Basic認証(の自動ログイン記述方法)を悪用する手法で、URLを誤魔化しています。
Basic認証のオートログイン時のURL記載方法は、
basic認証ID : basic認証パスワード @ 接続先URL
なおパスワードは省略出来、今回は設定されていません
URLの最初の方は正しいURLに見えますが、この部分はBasic認証のログインに使用するID部分であり、真のURLは最後の方の ” @ ” より後にある ” trewbuabjsgf.com ” の方です。
なので、リンクをクリックすると、smbc-card.comの方には接続されず、trewbuabjsgf.comに接続されてしまいます。
サイトの情報
フィッシングサイトは東京にあります。
35種類目
別記事にしています。
コメント