こいつは1時間以上にわたり各種取り混ぜたフィッシング詐欺メイルを送ってきた。計46通。
Received: from CP4P284CU005.outbound.protection.outlook.com (mail-brazilsouthazolkn190110001.outbound.protection.outlook.com. [2a01:111:f403:d112::1])
From: Hagebusch Dax <kcrvrlphoz352@outlook.com>
Subject: 「SBI Holdings」 アカウントなお知らせ ( メール番号:EBAGE-116.109.221.45)
重要なお知らせ:SBI 証券オンラインサービスの利用規約変更
お客様へ、
日頃より、SBI証券をご利用いただき、誠にありがとうございます。
2025年3月1日より改定された「SBI 証券取引約款」に伴い、オンラインサービスのご利用条件が変更されました。これにより、2025年7月25日以降、オンラインサービスにログインする際に、(サイトご利用にあたってのご留意事項)の確認画面が表示されることになります。
ご利用に影響がありますので、下記リンクより内容をご確認いただき、ご同意いただきますようお願い申し上げます。
セキュリティ強化のため、二要素認証の設定を強く推奨いたします。
確認画面について
ご確認期限:2025年7月25日まで
手続き内容:サイト利用規約の確認と同意
確認コード:https://w.sbisec.co.jp/web/ support/
アカウントの確認を行うため、以下のリンクをクリックして確認ページにお進みください:
確認ページに進む (https://abc123-uiwde-xyz.translate.goog/?_x_tr_sl=auto&_x_tr_tl=ig&_x_tr_hl=tr
⚠ご注意
「今は同意しない」を選択された場合、3回後に再度確認画面が表示されます。必ず期限内にご確認ください。
ヴァリエーション豊富だが数が多すぎるので2通目以降のメイルは省略して、フィッシングサイトの記載のみにとどめる。
結局メイル記載 URL のドメイン名は3種、リダイレクト先は同一だった。
- フィッシングサイト: *.uiwde.xyz
- フィッシングサイト: *.lisde.xyz
- フィッシングサイト: *.popmart-shtop.art
- フィッシングサイト: www-sbigroup-co-jp.ifidelity.xyz
- 送信元: Outlook
サブドメインは英3~7文字、数2~3文字。ランダムにすることで FQDN 単位でのブロックリスト回避を目論んでいるか、宛先追跡の可能性がある。
JavaScript window.location.href で ifidelity.xyz にリダイレクト。
- 一部「SBI证券ご利用のお客様へ」と、簡体字が使われている例があった
- フィッシング詐欺メイルのはずなのに、リンク先が baidu.com の例が複数
- PayPay を詐称する Subject のものが2件あった (本文は SBI)