VISAカードを詐称するフィッシング詐欺

VISAカードを詐称するフィッシング詐欺の記録。

Received: from ike322.sakura.ne.jp (131.206-195-68-net.sccoast.net. [206.195.68.131])
From: "VI⁠SAカ⁠ード"
Subject: 【重⁠要】VI⁠SAカ⁠ード本人⁠認証のお願い

セキュリティシステム更新に伴う本人認証のお願い

この度、VISAカードのセキュリティシステムが最新の状態へ更新されました。それに伴い、 お客様のアカウントの安全性を確保するため、一部サービスをご利用いただく前に 本人認証が必要となっております。

お手続きは数分で完了し、アカウントの保護と円滑なカード利用のための重要なステップとなります。 下記の専用ページにアクセスし、画面の案内に沿って認証を進めてください。
■ 認証が必要となった理由

・最新セキュリティ基準への切り替え
・お客様アカウントの安全性向上
・特定環境でのアクセスにおける追加確認

認証が完了しない場合、一部サービスが制限される、または決済が正常に行えない可能性がございます。 お早めの手続きをおすすめいたします。

認証手続きを進める (https://q0lfmjqfztgf3ogd.s3.us-east-2.amazonaws.com/index.html)

ご不明な点がございましたら、VISAカスタマーサービスまでお問い合わせください。
皆さまに安心してカードをご利用いただくため、ご理解とご協力をお願い申し上げます。

From と Subject の計6箇所に U+2060 が入っている。

• フィッシングサイト: q0lfmjqfztgf3ogd.s3.us-east-2.amazonaws.com
• フィッシングサイト: buyreplay.com
• フィッシングサイト: xhtmyjs.com
• フィッシングサイト: liliyouhua.com
• 送信元: Horry Telephone Cooperative

Amazon S3 に設置した index.html から JavaScript で3サイトのいずれかにリダイレクト。
リダイレクト先は xhtmyjs.com だけ Web.com登録、他2ドメインはGNAME 登録、Cloudflare 収容。

11月18日のセゾンカード、11月22日・23日の Apple とほぼ同じ構成。