「あなたのクレジットカード口座が第三者によって使用されていることを検知したので」という件名の詐欺メールを分析してみた

フィッシングメール

フィッシングメールというか詐欺メールというか、最近よく届くようになりました。

何通も届く詐欺メールを見ていると、似たようなパターンが多いです。

今回は、件名が「あなたのクレジットカード口座が第三者によって使用されていることを検知したので」というのフィッシングメールについて分析してみます。

スポンサーリンク

送信元について

「あなたのクレジットカード口座が第三者によって使用されていることを検知したので」という件名の詐欺メールが3通ありました。

送信元を見ると、3件ともアドレスが違います。

jcb<postmaster@jcb.co.jp>
myjcb<postmaster@foxmail.com>
apple<postmaster@apple.com>

しかし、すべてにpostmasterという文字が入っています。

たぶん、同じ人か同じグループが同じ場所から送信してるんでしょう。

foxmailというのは中国のメールサービスらしいです。

やはり中国から送信か!?という印象を受けます。

JCBでも、jcbとmyjcbにわざわざ変えているのは、なにか意味があるんでしょうか。

メール本文の内容について

jcbとmyjcbは同じ文面

本文の内容については、jcbmyjcbはまったく同じ文面です。

ただし、リンク先URLは違います。

変な日本語の表現があります。

変更をご WEBサービスよりお申込みください。
変更をご 方法

ご WEBサービス? 変更をご 方法?

日本人が書いたものとは思えません。

そもそも日本語の文章がおかしい。

翻訳ソフトの日本語をそのままコピペしたような感じです。

あなたのクレジットカード口座が第三者によって使用されていることを検知したので、あなたの口座が資金の安全のために凍結されたのですが、すぐにWEBサービスIDとパスワードを再登録して、制限を解除しなければなりません

AppleとJCBは文面が違う

一方で、AppleはJCBとは件名は同じでも文面が違います。

文面は違いますが、日本語が変なところは同じです。

日時:[DATE] [TIME] PST
ログインIP:[RAND_IP]

日時? ログインIP? この表示は何?

アカウント情報の一部が誤っている故に、お客様のアカウントを・ロ持するため Apple 情報を確認する必要があります。今アカウントを確認できます

きっと日本人が書いた文章じゃないですね。

「・ロ持する」って、どういうこと?

企業からのメールで「〇〇故に」って使わないと思うんですが。

「今アカウントを確認できます」って、なにか焦ってるんですか?

おそらく日本語のできない外国人(中国人が濃厚)が、翻訳ソフトの日本語をそのままコピペした文章だと思われます。

本文中のリンク先URLについて

本文中のリンク先URLについて見てみます。

jcb→https://byfwhb56.cn/index/login/index.html
myjcbe→https://subscription.4006013323.com/index/login/index.html
apple→https://subscription.123yingying.com

jcbとmyjcbでリンク先URLが違います。

jcbは.cnという中国のドメインが入っています。

発信元は中国と考えられます。

appleとmyjcbは、どちらもsubscriptionの文字が入っています。

3つのメールに共通点が複数あるので、送信元は3つとも同じと考えられます。

試しに、「.cn」のURLをクリックすると、セキュリティソフトによる警告が出ました。

しかし、ほかの2つのURLについては、クリックしても警告が出ませんでした。

警告が出ない場合があるので、怪しい日本語のメールは詐欺メールと判断して、URLをクリックしないことです。

また、JCBの偽メールには、隠しURLがありました。

メールを開いたかカウントするものらしいです。

さいごに

「あなたのクレジットカード口座が第三者によって使用されていることを検知したので」という件名の詐欺メールについて、自分なりに分析してみました。

この手のメールの内容は、「アカウント・ID・パスワードが使えなくなってるので、もう一度入力し直してください」というもの。

文章が変な日本語で、文面に「アカウント・ID・パスワード」というキーワードがあり、ログインURLがあるメールは要注意です。

3つのメールに共通点が複数あることから、3つとも同じ場所からのメールと思われます。

また、「.cn」というドメインから中国からのメールと考えられます。

コメント

タイトルとURLをコピーしました