2018年7月頃からYahoo!Japanの募金サイトに似せたフィッシングサイトが確認されているとしてYahoo!Japanが注意を呼び掛けています。ここでは関連情報をまとめます。
Yahoo!Japanからの注意喚起
- 2018年7月17日 【重要】当社をかたるフィッシングメール、不正メールにご注意ください。
- 2018年9月6日 当社をかたるフィッシングメール、不正メールにご注意ください。
【お知らせ】2018年7月15日頃より、Yahoo!ネット募金の「平成30年7月豪雨緊急災害支援募金」を模倣した偽サイトを確認しています。
— ヤフーの社会貢献 (@YJcontribution) July 17, 2018
Yahoo!ネット募金の正しいURLは「 https://t.co/0ajBHioCjw 」となります。
不審なメール等を検知しましたら削除し、アクセスしないようお願いいたします。
【おしらせ】ヤフーを騙るメールにお気をつけください。
— Yahoo! JAPAN CS (@Yahoojp_CS) September 7, 2018
ネット募金や防災速報を騙る・偽のアカウントロック/解除を通知する手口を確認しています。不審なメールはURLをクリックせず、ヤフーのトップなどから直接ご確認ください。最新の情報は次のページでお知らせしていますhttps://t.co/tZ2IOX21de pic.twitter.com/Li9slP8SQ5
偽募金サイトへ誘導するメール
- Yahoo!Japanによれば次のメールを通じてフィッシングサイトへ誘導されていると注意を促している。
| 件名 | Yahoo!ネット募金 - 【西日本豪雨】平成30年7月豪雨緊急災害支援募金。 |
|---|---|
| 本文 | こんにちは。 いつも Yahoo! JAPANのご利用ありがとうございます。 平成 30 年 7月豪雨前線当による豪雨災害により、生命や身体に危害を受ける災害が発生しました。 豪雨災害でお亡くなりになられた方のご冥福をお祈りするとともに、ご遺族の皆様にお悔やみを申し上げます。 また、被災された皆様には謹んでお見舞いを申し上げます。 これらの状況を受け、Yahoo!基金では被災地や被災地の住民の方がを 支援するために緊急災害支援募金を立ち上げました。 みなさまのご支援、ご協力をよろしくお願い申し上げます。 ▼寄付するにはここをクリックしてください フィッシングサイトへのリンク [あなたのご支援に感謝し、影響を受けた家族が新しい希望を持つことを願っています。] Copyright(C) 2018 Yahoo Japan Corporation. All Rights Reserved. |
- 本文は記号文字列は含めていません。
偽募金サイトの2つの動き
- 2018年7月、2018年8月以降の偽募金サイトは窃取される情報など作りが異なっている。
| 偽募金の対象 | 確認時期 | 窃取対象 |
|---|---|---|
| 平成30年7月豪雨 緊急災害支援募金 | 2018年7月頃 | クレジットカード情報(3Dセキュア情報含む)、Webマネー |
| 平成30年7月豪雨 緊急災害支援募金 | 2088年8月頃 | クレジットカード情報 |
- コピーする際のタイミングが一緒だったのか、寄付額や人数は同じ数字(寄付金額:270,498,468円、人数: 327,818人等)となっている。
- 8月に確認した偽サイトではソースコードに次の文字列が確認できる。
<!-- cmsweb613.cms.ssk.ynwp.yahoo.co.jp Wed Jul 11 17:59:09 JST 2018 -->
偽募金サイトを見学された@NaomiSuzuki_さんの記録
「Yahoo!ネット募金」の偽サイトを見学してきました。クレカ情報詐取コースと、WebMoney詐取コースがありました。クレカ情報とWebMoneyのプリペイド番号は、使えるだけ使われてしまうおそれがあります。WebMoneyウォレットには本人確認番号の入力がなく、WebMoneyカードケースは機能していません。 pic.twitter.com/kKFfA1xUKa
— Naomi Suzuki (@NaomiSuzuki_) July 15, 2018
営業中の「Yahoo!ネット募金」の偽サイトを見学してきました。最新は北海道胆振東部地震ですが、その前の仕掛けなので7月豪雨です。「Tポイントで寄付」を「詳細情報」に差し替えた、クレカ情報の一本釣りでした。騙されないよう早速ご注意ください。 pic.twitter.com/H2lDrKoVNw
— Naomi Suzuki (@NaomiSuzuki_) September 8, 2018
偽募金サイトの状況
| ドメイン | 確認日付 |
|---|---|
| yahoo-donation[.]com | 2018年7月15日 |
| service-yahoo-co-japan[.]com | 2018年8月11日 |
| donation-yahoo-co-jp[.]com | 2018年8月27日 |
| donation-plan-japan[.]com | 2018年8月30日 |
- いずれもwwwのサブドメインを持つ。
- 2018年8月の偽サイトはHTTPSでも接続が可能。(2018年7月のサイトは未確認)
- 2018年7月の偽サイトはNTTドコモや佐川の偽サイトでも利用されていた模様。*3
- 2018年8月の偽サイトのドメインは「dom cc」「1686030550@qq.com」で登録されている。
偽募金サイトのIPアドレス
- 先ほどのURLで返されるIPアドレスはいずれも以下の香港のもの。
178.236.234.193
- 偽募金サイトは2018年9月10日現在も稼働中。
- 偽募金サイトはIIS6.0(Windows Server 2003 Enterprise Edition)上で稼働している。
PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 80/tcp open http 110/tcp open pop3 143/tcp open imap 443/tcp open https 3389/tcp open ms-wbt-server
- 404のエラー画面などからCN由来の設定が見える。
更新履歴
- 2018年9月10日 AM 新規作成
