フィッシング

三井住友カードを騙るフィッシングメールが来たので調査してみた [トランザクション保留中編]

概要

三井住友カードを騙り個人情報の修正を促すメールが届きました。
不正使用の可能性があるためカードの利用を一時的に停止しているため、ログインし個人情報の修正が必要と書いてあります。

フィッシングメールの中身

実際に送られてきたメールがこちらです。

ロゴも入っていますので、パッと見た感じは三井住友カードからのメールに見えなくもありません。が、よく読んでみるとかなり日本語がおかしい部分が見られます。
特にこの文章の機械翻訳の精度が悪すぎです。
「当社の検出を経て、第3者が不法悪意ログインあなたの三井住友ニコスwebサービス。」
ここまでひどいと本文を読めばこのメールがフィッシングだと見分けがつきそうです。

メールヘッダ

次に送られてきたメールのヘッダ情報を抜粋して見てみます。

 html
Return-Path: <ruibdhl@ihygyyr.buzz>
:
:
Received: from ihygyyr.buzz (165084180110.ctinets.com [165.84.180.110])
by yyyy.zz (Postfix) with ESMTP id 88F2A20184D45
for <xxxx@yyyy.zz>; Sat, 31 Oct 2020 11:59:43 +0900 (JST)
Message-ID: <4283C3B8D2E7A4CB4162226A299BDB8E@ihygyyr.buzz>
From: =?utf-8?B?5LiJ5LqV5L2P5Y+L?= <smb-card@vpsaa.ne.jp>

まず、送信元ですが三井住友カードのオンラインサービスであるVpassと似たドメインを使っています。
vpass.ne.jpは三井住友カードが登録していますが、サービスとしては利用していない様です。
ヘッダの中から調査するIOCは以下になります。

  • hygyyr[.]buzz
  • 165.84.180[.]110
  • vpsaa.ne[.]jp

フィッシングサイト

実際のWebサイトには接続できませんでした。またDNSでIPを引くこともできませんでした。
IOCは以下になります。

  • https://gdfgdfgwq[.]xyz/

IOCの調査

すべて2020-10-31時点での情報です。

  • hygyyr[.]buzz
    VirusTotal : 報告はありませんでした。
  • 165.84.180[.]110
    VirusTotal : Suspicious, Maliciousの報告がいくつかあります。
    AbuseIPDB : 2020-06-15から報告があります。フィッシングメールの送信だけではなく攻撃で使われた形跡もありますので、ブロックしても良さそうです。
  • vpsaa.ne[.]jp
    ドメイン名が正しくありません。
  • https://gdfgdfgwq[.]xyz/
    whoisで調べるとすでに削除されている様です。
    The queried object does not exist: previous registration D206169363-CNIC was purged on 2020-10-31T03:14:02.0Z (DOMAIN NOT FOUND)
    VirusTotal : Phishing, Maliciousの報告がいくつかあります。

個別に調査してみます。

hygyyr[.]buzz

まずは、このドメインを登録している組織をwhoisで調べてみましたが存在しませんでした。
VirusTotalには報告はありませんでした。

165.84.180[.]110

送信元のIPを見てみます。こちらは香港のIPとなっています。このIPを脅威インテリジェンスで調査してみました。
AbuseIPDB, VirusTotal共にいくつかの報告がされています。
AbuseIPDBでは2020-06-15に最初の報告がされており、合計85件の報告がされています。当時はBrute-Force, SSHでの攻撃として報告されており、この攻撃は2020-06-21まで続いていた模様です。
その後しばらくは報告がありませんでしたが、2020-10-27から三井住友カードのフィッシングメールの送付元として利用され始めたようです。
4ヶ月以上踏み台に利用されているようですので、このIPはブロックしてしまっても良さそうです。

vpsaa.ne[.]jp

Vpass用に取得しているドメインを模したドメインとなっています。
実際には存在しないドメインです。ne.jpは簡単には取得できませんのでフィッシングのために取得は不可能でしょう。

https://gdfgdfgwq[.]xyz/

まずは、このドメインを登録している組織をwhoisで調べてみます。

 html
The queried object does not exist: previous registration D206169363-CNIC was purged on 2020-10-31T03:14:02.0Z (DOMAIN NOT FOUND)

このドメインは2020-10-31T03:14:02.0Zに削除されたようです。ですので今は存在しないドメインとなっています。
VirusTotalにはPhishing, Maliciousの報告がいくつかあります。

まとめ

最近のフィッシングメールおよびフィッシングサイトは、本物と見間違うほど本物っぽく作られています。ですが、クリックする前にURL(本文に書かれているものではなく)を確認することでアクセスする前に気付くことができます。
仮にアクセスしてしまった場合も、URLや証明書をきちんと確認することが重要です。
また、リンクからアクセスするのではなく、ブックマークなどからアクセスすることでフィッシングサイトへの誘導から逃れることが可能です。

最近、様々な企業を装ったフィッシングメールが送られてきていますので気を付けましょう。

-フィッシング

© 2020 Mister Style All rights reserved.