フィッシング詐欺 三菱東京UFJ銀行編(2014.1.23緊急作成)

 つい先ほどこのようなメール(図1)が来ました。明らかにぁゃιぃので調査した結果、フィッシング詐欺メール(ID・パスワードを搾取する詐欺)でした。
 メールのソースを解析した結果手口もほぼ判明、相当巧妙に作ってあるため緊急にこのメールでどうだましているか、どのようなしかけかを公開します!
 注意しないと引っかかる可能性が高いのでぜひ最後までお読み下さい。

 掲載画像はクリックする途別窓に原寸画像が表示されます。
 ざざっと作ったので体裁は最悪です。読みにくい点はご勘弁下さいm(_ _)m


図1 届いたメール

まず、このメールのおかしな点は
@宛先のメールアドレスが存在しない(上の赤線部)
Aリンク先が書いてあるものと別物(下の赤線部)
です。

そこでメールのソースを見てみると以下のものでした(ここは流してもらっても結構です)。
Return-Path: <vk0264@yahoo.co.jp>
Delivered-To: ****2.com-********@****2.com
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on *************.jp
X-Spam-Level: ***
X-Spam-Status: No, score=3.5 required=5.0 tests=BAYES_50,FORGED_OUTLOOK_HTML,
FREEMAIL_FROM,HTML_MESSAGE,HTTPS_HTTP_MISMATCH,MIME_BASE64_BLANKS,
MIME_HTML_ONLY autolearn=no version=3.3.2

中略

Message-ID:
From: =?utf-8?B?5LiJ6I+x5p2x5LqsVUZK6YqA6KGM?= <vk0264@yahoo.co.jp>
To: <*******@nishi.iis.u-tokyo.ac.jp>
Subject: =?utf-8?B?44CM5LiJ6I+x5p2x5Lqs77y177ym77yq6YqA6KGM44CN5pys5Lq66KqN6Ki844K144O844OT44K5?=
Date: Thu, 23 Jan 2014 00:57:38 +0800
MIME-Version: 1.0
Status: U
X-UIDL: 1390410795.M004405P31129.s137
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512
X-Virus-Status: No
X-Virus-Checker-Version: clamassassin 1.2.2 with clamdscan / ClamAV 0.97.1/18381/Wed Jan 22 16:20:58 2014
X-Antivirus: avast! (VPS 140121-1, 2014/01/22), Inbound message
X-Antivirus-Status: Clean>

注 この下が問題のメールの本文です!!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メール本文はBASE64というコードでエンコード(暗号化みたいなもの)されているのでこのままでは読めません。
 そこで昔使った暗号解読ソフトを引っ張り出してデコード(復号化)したものがこの下です。

メールのソースは以下のものでした(文字化けはご愛敬ということで・・・)。
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META content="text/html; charset=utf-8" http-equiv=Content-Type> <META name=GENERATOR content="MSHTML 8.00.6001.18702"></HEAD> <BODY> <P>************************************************************************<BR>         三菱東京UFJ銀行Eメール配信サービス<BR>************************************************************************</P> <P>2014年「三菱東京UFJ銀行」△シスチE__セキュリチE__のアチE_Eグレード△ため、貴様△アカウント△利用中止を避けるために、検証する_チE__があります、E/P> <P>以下△ペ△ジより登録を続けてください、E/P> <P>
;<A href="http://www.gzmeri.com/image/">https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID_000_001</A>
</P> <P><BR>――Copyright(C)2014 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved― E/P> <P></P></BODY></HTML>

赤字の部分が表記されているURLと異なった場所に飛ばす仕掛けです。
気付かれても画像リンクのように見せかけ、そこで瞬時に別ドメインにある詐欺ページ飛ばしています。
これが巧妙なところは、HTMLメールをあたかもTEXTメールのように見せているところなんです。

通常テキストメールは書いてあるURLにジャンプします。私もそういう先入観があるので最初に疑問を持たなければだまされていたかもしれません。

この後はこのリンクで飛ばされるところと正しい東京三菱UFJ銀行の画像を比較します。

図2 詐欺メールのリンク先


図2 本物の東京三菱UFJ銀行のページ


まず見た目が全く同じことに驚かれたのではないでしょうか?
注意する点はサイトのURL(アドレスバーの内容)です!
詐欺サイト(×)と本物(○)を並べてみると一目瞭然・・・とはいかない紛らわしさがわかるでしょう

○https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001
×http://bk.mufg.jp.iic.cn.com/ibg/dfw/APLIN/loginib/login.htm?_TRANID=AA000_001

本物はHttps、偽物はhttp、偽物のドメインはIic.cn.comです
ドメイン部分の文字数をごまかすためにentry11が削られています(笑

結論はリンク先のアドレス(URL)は必ず確認しましょう!ということです。
もう一つ手っ取り早い方法は「返信」ボタンを押してみること。一番上に出てくる”from”がyahooやgmail等だったら100%偽物です!!
詐欺の手口はどんどん巧妙になっています。また今回は東京三菱UFJ銀行でしたがこれはどこの」金融機関、果てはショッピングサイトでも使える汎用の手口です。
これをご覧になった皆さまは詐欺に引っかからないようご注意下さい。

雑な文章を長々お読み頂きありがとうございます。よろしければ下の「うちのまっくろくろすけ」をクリックしてこのサイトのトップページもご覧になって下さい。m(_ _)m


 うちのまっくろくろすけ 

 1832

6:30追記
内容は日々進化している模様
東京三菱UFJ銀行の注意喚起ページ