[SPAM][フィッシング] 三菱東京UFJ銀行を騙るメールに注意!!

[][] 三菱東京UFJ銀行を騙るメールに注意!!こんにちは、ikedaです。

仕事柄なのかどうなのか、SPAMやら怪しいメールが連日3桁に迫る勢いで届いては雷鳥くんに捨てられ届いては捨てられしていますが、さすがの雷鳥くんも見逃すことがありますね。

基本的にさくっと削除しているんですが、ふと目に止まったメールがこれ。




どうですかこの怪しさ爆発のボディーーーーーーーーッ!

クリックしろと言っているリンクも後ろに実体が表示されててちょっとお茶目さを増してますね。これ、他のメールソフトだったらもしかして実体表示されなかったりするのかな?だとすると怖い。

フォントも変だし、日本語も微妙。

そもそもアカウント確認とかアカウントロックとか聞いてねえし。

本家サイトを見るとやはりありました。

 

インターネットバンキングのパスワード等を騙し取る不審な電子メールにご注意ください(平成25年12月24日更新)。 | 三菱東京UFJ銀行


同ページに「不審な電子メールの例」が2つ掲載されています。


はい、ビンゴ。

ちなみにこのリンクを踏んでしまったらどうなるか、その先を検証した結果も掲載されています。


これでオンラインバンクの契約者番号、ログインパスワード、さらには乱数表データも引っこ抜かれてしまうわけです。

さーそれではこのフィッシングメールの中身を見てみましょう。まずは本文。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html><head>
<meta content="text/html; charset=GB2312" http-equiv=Content-Type>
</head>
<body>
<p>こんにちは</p>
<p>これは「三菱東京UFJ銀行」から送信されたアカウント確認のメールでございます、お客様はアカウントがロックされないように定期的にチェックしてください。<br>以下のページより登録を続けてください。</p>
<p><a
href="http://bk.mufg.jp.bkb.cn.com/ibg/">https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001</a></p>
<p>──■□Bank of Tokyo-Mitsubishi UFJ □■──</p>
<p>■編集 - 発行:株式会社三菱東京UFJ銀行<br>       東京都千代田区丸の内2-7-1<br>       [登録金融機関]関東財務局長(登金)第5号<br>       [加入協会]日本証券業協会<br>             一般社団法人 金融先物取引業協会<br>             一般社団法人 第二種金融商品取引業協会</p>
<p>■ご登録にお心あたりのない場合や電子署名についてのお問い合わせ<br> <インターネットバンキングヘルプデスク><br> 0120-543-555<br> (または042-311-7000(通話料有料))<br>  受付時間/毎日 9:00~21:00<br> <br>■メールアドレスの変更方法<br> 「三菱東京UFJダイレクト インターネットバンキング - モバイルバンキ<br> ング」にログイン後、「その他」(スマートフォン - モバイルバンキングの<br> 場合は「各種手続」)から「Eメール通知サービス登録 - Eメールアドレス<br> 変更」を選択し、お手続きを行ってください。<br> <a
href="http://direct.bk.mufg.jp/index.html">http://direct.bk.mufg.jp/index.html</a></p>
<p>■個人情報保護方針について<br> 三菱東京UFJ銀行では、お客さまの個人情報を適切に保護するため、その<br> 取り扱いにつきましては細心の注意を払っています。<br> <a
href="http://www.bk.mufg.jp/kojinjouhou/houshin.html">http://www.bk.mufg.jp/kojinjouhou/houshin.html</a> </p>
<p>■本メールの送信アドレスは送信専用となっております。返信メールでのお問<br> い合わせは承りかねますので、あらかじめご了承願います。</p>
<p>――Copyright(C)2013 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights
reserved――</p></body></html>

 

がっつりHTMLメールですね。フォントがおかしな感じになっていたのは Content-Type が “text/html; charset=GB2312” だったせいでしょう。つーかGB2312ってどこやねんそれ。

GB 2312 – Wikipedia

GB 2312-80(あるいはGB 2312-1980)は、中華人民共和国の国家規格として定められた簡体字中国語符号化文字集合(いわゆる文字コード)で、主に中国大陸などで使われる。

 

はい、中国語の文字コードですな。

そして気になるのは踏ませようとしていたURL。

<a href="http://bk.mufg.jp.bkb.cn.com/ibg/">https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001</a>

.cn.com ってことでこちらも中国のドメインですね。

そして今度はメールヘッダを見てみます。

Received: from mufg.jp (unknown [114.104.241.205])
by ***.toor.jp (Postfix) with ESMTP id CBE811A71A6
for <****@toor.jp>; Thu, 26 Dec 2013 13:19:16 +0900 (JST)
From: =?GB2312?B?yP3B4pZ8vqmj1aPGo8rjedDQ?= <bk@mufg.jp>
Subject: =?GB2312?B?ob7I/cHilny+qaPVo8ajyuN50NChv6XhqWCl66Wipcml7KW5pM60X9VK?=
To: ****@toor.jp
Content-Type: text/html;charset="GB2312"
Content-Transfer-Encoding: 8bit
Date: Thu, 26 Dec 2013 12:19:33 +0800
X-Priority: 3
X-Mailer: Foxmail 5.0 beta2 [cn]

もう疑いようのない話では有りますねー。

toor.jpのメールサーバに投げてきた送信元サーバ「114.104.241.205」をWhoisしてみると

% Information related to '114.104.0.0 - 114.107.255.255'
inetnum:        114.104.0.0 - 114.107.255.255
netname:        CHINANET-AH
descr:          CHINANET Anhui PROVINCE NETWORK
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
admin-c:        JW89-AP
tech-c:         JW89-AP
country:        CN
remarks:        service provider
status:         ALLOCATED PORTABLE
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        hm-changed@apnic.net 20080516
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-AH
mnt-routes:     MAINT-CHINANET-AH
source:         APNIC
person:         Jinneng Wang
address:        17/F, Postal Building No.120 Changjiang
address:        Middle Road, Hefei, Anhui, China
country:        CN
phone:          +86-551-2659073
fax-no:         +86-551-2659287
e-mail:         wang@mail.hf.ah.cninfo.net
nic-hdl:        JW89-AP
mnt-by:         MAINT-NEW
changed:        wang@mail.hf.ah.cninfo.net 19990818
source:         APNIC

んでもって、踏ませようとしていたURL。ドメインWhoisしても cn.com しか引けないので、nslookupしてアドレスをWhoisしてみます。

C:\> nslookup
> bk.mufg.jp.bkb.cn.com
名前:    bk.mufg.jp.bkb.cn.com
Address:  126.10.208.229

% Information related to '126.0.0.0 - 126.255.255.255'
inetnum:        126.0.0.0 - 126.255.255.255
netname:        BBTEC
descr:          Japan Nation-wide Network of Softbank BB Corp.
country:        JP
admin-c:        SA421-AP
tech-c:         SA421-AP
mnt-by:         APNIC-HM
mnt-lower:      MAINT-JP-BBTECH
status:         ALLOCATED PORTABLE
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        hm-changed@apnic.net 20050208
changed:        hm-changed@apnic.net 20081031
source:         APNIC
role:           SoftbankBB ABUSE
address:        Tokyo Shiodome bldg., 1-9-1, Higashi-Shimbashi, Minatoku,Tokyo
country:        JP
phone:          +81-3-6688-5120
e-mail:         stsuruma@bb.softbank.co.jp
remarks:        Please send spam report,virus alart
remarks:        or any other abuse report
remarks:        to  abuse@bbtec.net
remarks:        Any other Information, Notice,
remarks:        Please send to hostmaster@bbtec.net
admin-c:        ST222-AP
tech-c:         ST222-AP
nic-hdl:        SA421-AP
notify:         admin@bbtec.net
mnt-by:         MAINT-JP-BBTECH
changed:        stsuruma@bb.softbank.co.jp 20081030
source:         APNIC
changed:        hm-changed@apnic.net 20111114

 

あれ日本に戻ってきちまった。
まぁ、こういうこともあるようなので一概には言えないんですが、Webサーバは日本にある可能性がありますね。

 

いずれにしても、特にオンラインバンクなどお金に直接かかわるサービスからのメールは不用意に信じず、よーく観察しましょうね。

ちなみにこれはうろ覚えなんですが、確か三菱東京UFJ銀行オフィシャルからのメールは自己証明書が添付されてた気がします・・・・違ったかな。

 

ともかく、お気をつけあれ!

  1. コメント 0

  1. トラックバック 0

return top