piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

実名入りで届く象印を騙ったQUOカード当選詐欺について調べてみた

2019年12月15日未明よりQUOカード当選と称して象印を騙った詐欺メールが届いたという報告がTwitter上に複数あがっています。件名や本文に実名が入っていることから、2019年12月5日に象印マホービンが発表した「象印でショッピング」への不正アクセスによる個人情報流出の情報が悪用されている可能性があります。ここでは関連する情報をまとめます。

「おめでとうございます!」実名入り件名で届く当選詐欺メール

12月15日頃にTwitterへ報告が上がっている当選詐欺メールは以下のもの。

差出人アドレス shopmaster@zojirushi.co.jp
件名 ****様 おめでとうございます!オリジナルQUOカード 年末大感謝祭キャンペーン!
本文 毎度、ZOJIRUSHI製品をご愛用いただき、誠にありがとうございます。
****様
3000円分のオリジナルQUOカードを当選されました。

★ご当選おめでとうございます★
つきましては、賞品発送のため下記のURLにクリックして頂き必要な情報をご記入お願い致します。
<当選詐欺サイトのURL>
--------
プレゼント内容
オリジナルQUOカード3,000円分
※プレゼントですので、100円の配送料が発生します、ご了承ください。
※プレゼントはレターパックで発送しております。発送完了はメールでお知らせ致します。
賞品は2週間以内に発送予定です。
※ご記入いただきました個人情報は、弊社個人情報保護方針に基づき管理いたします。

f:id:piyokango:20191215054641p:plain
メール本文中に含まれていた画像

  • 2019年12月4日に発生した詐欺メールと同様にQUOカードの当選詐欺であることから、同じグループによる詐欺行為が疑われる。

f:id:piyokango:20191215070112p:plain
12月4日もQUOカード当選詐欺が発生し、同じ画像が用いられた

当選したのに送料100円がかかる詐欺サイト

f:id:piyokango:20191215055125p:plain
クリック後に表示されるページ

  • メール本文のURLzojirushi.online/Xmas/をクリックすると象印でショッピングを模した詐欺サイトが表示される。
  • 詐欺メールに記載されていた通り、3000円のQUOカードを発送するため100円の送料がかかるとうたい注文させる構成。
  • 誤って詐欺サイトへ入力してしまうと次の情報が第三者に渡ってしまう。
    • 氏名(カナ含む)
    • 連絡先メールアドレス
    • パスワード
    • 住所(郵便番号を含む)
    • 電話番号
    • 性別
    • 生年月日
    • クレジットカード番号
    • クレジットカード有効期限
    • クレジットカード セキュリティコード
    • お届けに関する事項

f:id:piyokango:20191215070331p:plain
当選詐欺の流れ

公式サイトをプロキシするトップページ

f:id:piyokango:20191215070810p:plain
個人情報流出のお知らせだけ表示がない詐欺サイトのトップページ

  • 詐欺サイトトップページ以下は象印マホービン公式サイトをプロキシする挙動を行っている。そのため、ドメインはzojirushi.onlineのまま、公式サイト上の正規のページが問題なく表示される。
  • 「象印でショッピング」からコピーしたためか/Xmax/中のリンクは一部機能しないが、404の場合は詐欺サイトのトップページにリダイレクトするためエラー表示は行われない。

f:id:piyokango:20191215062804p:plain
画像は全て公式サイトへリダイレクトする

  • 詐欺サイトに用いられたドメインの取得日は2019年12月3日。前回発生した当選詐欺メールは12月4日であったことから、それよりも前にドメインを準備していた可能性がある。また、CSSなどのコンテンツの「last-modified」は12月14日の21時頃と返される。

f:id:piyokango:20191215071129p:plain
詐欺メールをまく直前に設置?

  • 当選詐欺に使用されていたドメインに対し、PassiveTotalでは2つのIPアドレスが紐づいていることを確認した。意図したものかは定かではないが、2件ともGeoIP上は日本国内となっている。
45.32.24.225
66.42.44.113

象印マホービンの注意喚起

  • 2019年12月16日 [PDF] [important_info_02.pdf:title=【重要】象印マホービンを装った偽装メールにご注意ください]

更新履歴

  • 2019年12月15日 AM 新規作成
  • 2019年12月16日 PM 象印マホービンの注意喚起を追記