« ワコールがWeb改ざんの被害 | トップページ | 1行で文字列の IP アドレスを数値に変換する方法(Linux bc コマンド) »

ゆうちょ銀行をかたるフィッシング、「口グイン画面リ二ューアルのお知らせ」

ゆうちょ銀行をかたるフィッシング、「口グイン画面リ二ューアルのお知らせ」


2015/05/15 に発生した"アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール"の情報は、こちら http://rootdown.cocolog-nifty.com/memo/2015/05/post-9171.html


「ゆうちょ銀行」をかたるフィッシングメールが出回っているようです。
こちらにもフィッシングメールが送られてきましたが、2014年4月1日 22時頃に確認したところ、フィッシングサイトは閉鎖されてアクセス出来なくなってました。
フィッシングサイトが閉鎖される前にアクセスした場合は、偽の「ゆうちょダイレクト」のログイン画面が表示され、ログイン情報を入力すると攻撃者にログイン情報が送られるようになっていたと思われます。
「ゆうちょ銀行」は、セキュアブレインの不正送金対策ソフト PhishWall を導入しているようです。PhishWall をインストールしておくと、ブラウザでフィッシングサイトにアクセスすると警告してくれるそうです。

「ゆうちょ銀行」をかたるフィッシングメールの内容

差出人:direct@japanpost.jp
件名:【重要】ゆうちょ銀行からのお知らせ
日時:Tue, 01 Apr 2014 02:44:48 -0400

お客様各位
ゆうちょダイレクトをご利用頂き有難うございます。
お客様へ口グイン画面リ二ューアルのお知らせです。
下記より口グインしてメッセージを確認して下さい。
<hxxp://www.trombone.net/js/#xxx@gmail.com>https://direct.jp-bank.japanpost.jp/tp1web/U010101SCK.do
ゆうちょ銀行力スタマーセンター。

となっていました。

DATEヘッダーのタイムゾーンが -0400 AST(大西洋標準時) だからアメリカからでしょうか。
メールソフトによって変わるかもしれませんが、日付は、通常 JST(日本) +0900 となっているはずです。 「ゆうちょ銀行」からのメールの日付が、JST(日本)以外になっているのは不自然なので、注意深いユーザーは何かおかしいと感じることができると思います。

www.trombone.net/js

www.trombone.net の js ファイル(javascriptファイル)は、
2014年4月2日8:00 時点でも存在しています。

hxxp://www.trombone.net/js にアクセスすると
hxxp://count29.51yes.com/id=xxxxxxxxxxx&logo=11 に転送され、
最終的に
hxxp://direct.jp-bank.japanpost.jp-ceny1.com/tp1web/U330102SCR.do
が表示されるようになっていたようです。


関連情報

  • ゆうちょ銀行をかたるフィッシング(2014/04/01) フィッシング対策協議会
  • またまた「ゆうちょ銀行」のログイン画面リニューアルをかたるフィッシング(Impress Watch)
  • « ワコールがWeb改ざんの被害 | トップページ | 1行で文字列の IP アドレスを数値に変換する方法(Linux bc コマンド) »

    セキュリティ事件、サイバー攻撃」カテゴリの記事

    記事一覧

    スポンサードリンク


    Twitter


    無料ブログはココログ

    ブログ検索