2020年4月11日、
「NICOSカード」を騙るフィッシングメールを受信しました。
私は複数のメールアカウントをGmailに集約しているので、「ぷららメール」→「Gmail」のルートで受信したものです。件名に [meiwaku] が付加されてないので、ぷららの迷惑メールフィルターはサボっていたようです。
過去に三菱UFJグループを騙るフィッシングメールを受信したことがありますが、今回は三菱UFJグループの一員「NICOSカード」を騙るメールです。
今回のNICOSメールはGmailが迷惑メールと判定したのでGmailユーザーは騙されていないと思いますが、ぷららユーザーは心配です。
そんなぷららユーザーのために、私が受信したフィッシングメールの詳細情報を公開します。
お役に立てれば嬉しいです。
実例
リンクの貼られていたURL以外は実在するものが使われていました。
フィッシングメール
[ヘッダー]
From:NICOSカード <email_info02@nicos.jp>
To: <spam@plala.or.jp>
日付:2020/04/11 4:49
件名:NICOSカード 異常な活動 ? アカウントを保護して下さい。
[本文]
┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┃
┃◆ NICOSカード WEBサービスログイン" ◆
┃
┃
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
******************************************************************
本メールはドメインの運用(メール送受信やホームページの表示)に関わる
重要な通知となります。
******************************************************************
先日、会社のカードのお支払い情報が変更されたことが判明いたしましたが
フォローアップするまでの間、カードは一時的にロックされているものと思われます
当方の運営でしたら個人予約情報を更新してください
この間、ご迷惑をおかけしますがご容赦ください
■ 変更をご 方法
━━━━━━━
三菱UFJニコスWEBサイト
https//www.cr.mufg.jp/select/index.htmil
フィッシングポイント!
受信したメールは上のURLにリンクが貼られていました。(https://www.squelugarapioju.buzz/)フィッシングサイトへ飛ばされるのでクリックしてはいけません。
[:] コロンが無かったり、htmlではなくhtmilとなっている。
(本物のサイト)
お持ちのカードブランドをご選択ください|クレジットカードなら三菱UFJニコス
https://www.cr.mufg.jp/select/index.html
━━━━━━━
■ 注意事項
━━━━━━━
※変更後、48時間以内に発効する必要があり、期間中は使用できません。
※カードの個人情報によっては電話で連絡する場合もございます。。
※正確な情報は必ず記入してください。
──────────────────────────────────────
発行元:三菱UFJニコス株式会社
〒113-8411 東京都文京区本郷3丁目33番5号
本メールの無断転載はご遠慮ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright(C) 2020 Mitsubishi UFJ NICOS Co.,Ltd. All Rights Reserved.
2020/4/11 4:49:09
フィッシング判定
次の情報を確認しましょう- From
- 件名
- 本文に記載されたURLやメールアドレス
- 本文に記載された電話番号
チェックポイントは次の通りです。
| 項目 | URL, mail | コメント |
| To | spam@plala.or.jp | 受信者のメールアドレス ※フィッシング業者が所持しているか、ランダムに生成されたアドレス |
| From | email_info02@nicos.jp | nicos.co.jpが公式ドメイン (参考)こうして見分けるフィッシング詐欺|クレジットカードなら三菱UFJニコス |
| 本文 | https//www.cr.mufg.jp/select/index.htmil | フィッシングサイトへ誘導するリンクが貼られた文字列 (https://www.squelugarapioju.buzz/) |
nicos.jp
nicos.jpは三菱UFJニコスが押さえているドメインで、それを転送ドメインとして使用していました。Fromに異常がない時は、本文からフィッシング業者がクリックさせたいURLを探して調査しましょう。
今回の例では、次のURL文字列に設定されていたリンクです。
URL文字列
https//www.cr.mufg.jp/select/index.htmil
→ リンク先:https://www.squelugarapioju.buzz/
まとめ
差出人 (From) のメールアドレスで大抵のフィッシングメールは見破ることが可能ですが、今回の事例はFromで判別できません。今回のメールのFromは以下の通りです。
From: email_info02@nicos.jp
www.nicos.jp にアクセスすると www.cr.mufg.jp(三菱UFJニコス) へ転送されるので正当なドメインです。
手っ取り早いのは、「email_info02@nicos.jp」を検索ワードにして調べることです。
Google検索で以下のサイトがヒットしました。
こうして見分けるフィッシング詐欺|クレジットカードなら三菱UFJニコス
そして、nicos.jp ではなく nicos.co.jp を使用していることがわかりました。
External link
このサイトを検索 | Search this site
![en[EVENT131] Metadata staging failed](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjbs_msUKZLXTDaVteZjV5ArZ81T5bssP-FzmGA4DS0Z_dUZvgX9mWFkyF-3lHlicLk2TttAC5q2QunMSDeCYpYJAzk1Ghmj5KeZhDBCPGayeNyuq9C78mizcxzI84AvFw28Z258Tz5_HSO/w680/WinR300px.png)
![[EventId 131] メタデータステージングが失敗しました (DeviceSetupManager)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiN6dqRB2WfXdfAKB10FDjdJ2p22frW5ahcNd07xf7-Dux9uDfiM1RGf7v6iO-QRooVfr3FsZNkpRKcO8Or0JcmQeJ5ud_ns3dfE7tQwoVZB2bsZbTKUaxVjG_CqSTho3hre6kT7T4mOBGz/w680/redyellow_317x.gif)
ブロトピ:今日のブログ更新