あたかも銀行などからの公式のメールに見せかけて、偽のサイトにアクセスさせて口座の情報などを入れさせて悪用するフィッシング詐欺が少し前から話題になっている(ITmediaニュース:米でフィッシング詐欺横行、損害12億ドル)けど、来たわ、わたしのところにも。
シティバンクからと称して。英文のメールが。
メールを開くと、左の画像が表示されるようになっていて、アクセス先はシティバンクの正規のURLのように見せかけておいて、画像中のURLの部分をクリックすると、偽サイトにアクセスするようになっているわ。
こういうメールは不特定多数の宛先に無数にばらまくでしょうから、何人かはだまされちゃうんでしょうね〜。
ちなみに、画像にも何かが仕込んである可能性があるので、念のために無毒化しておきました。
具体的には、グラフィックツールで開いて、スクリーンショットを撮って、それを縮小したの。
ちなみに、メールの本文はこれ。
個人情報に繋がるところは伏せ字にしてあります。また、意味不明の部分も宛先情報などが暗号化されて埋め込まれている可能性もあるので、一部改変してあります。
From: "Citibank"
To:
Subject: Citibank's official notice. [Mon, 12 Jul 2004 12:37:43 0000]
Date: Mon, 12 Jul 2004 12:37:43 0000
Return-Path: <302A185@alacarta.com>
Delivered-To: xxxxx@xxxx.or.jp
Received: from 157.157.163.75 (adsl3-11-75.du.simnet.is [157.157.163.75])
by xx.xxxx.or.jp (Postfix) with SMTP id 482FB216FB3
for; Mon, 12 Jul 2004 09:37:49 +0900 (JST)
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----621545c2m032t0297046709420810944"
X-Mailer: The Bat! (v1.51) Educational
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2500.1106
Message-Id: <20040712003749.482FB216FB3@xx.xxxx.or.jp>
X-UIDL: 23#!!J(["!B:[!!:gU!!00x 2q0Mj26 7qw2856 7xe1Gdx063 8d0j778859 3m67122r9 075861 9x9xC My3x212 288q3xx80 8f68303 79n9i15xx 5F 5x09970y9 259 133885x5 06 6669863 23h58x79x 6Q1059137 ixx892k2X 5708A1K83x
7e1u526 xx 7x5x20 77xx059x2J 661l6026 fcY 86979o02 51 8613x 2p5f j8n9x8 718597L5M6 526688 28jdH1y8 1099xx65 U2u71 3250b7205 635 2r7166 530 x903V x2 98c
3937787533 050xl078x x88O 76y950239 7170228 70390n1691 0m129wc971 70O2115 721 20h0 02r32x 39917p8p8 010693813B 70527 22r1vx280 7d7x701x 892a69i16 10 2Yh0
99fmBox 951D12 pe1x15V 653291681 6022wg 6O0700036 53x9 0j812039 130661709 5112992f 7m2521jv9b 9x82550g 51g5817a 09T lx886i 2v3n 33I2 531 516T39x56 09oxp57P98 96023y3I 8838 90x3 5e58 1511x t5 7P1511f5x2 516011902 7x13 292 3x62 x20211o9x2
660x02x58 29x39711 x865179 52858n31 2x 803106 e13 5357x 72y9 x2hx7 121x9x5gEukoty Updxxhuqn. Mon, 12 Jul 2004 12:37:43 0000
それから、添付のHTMLファイルの中身がこれ。
HREFは正規のサイトを指しているけれど、画像はイメージマップになっていて、偽サイトを指しているわ。
だからといって、このサイトを攻撃しちゃダメよぉ〜。
第三者のサイトが密かに乗っ取られて、偽サイトに仕立て上げられている可能性もあるから。
投稿者 Lyliko : 2004年07月12日 10:54 | トラックバック
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#FFFFFF>
<DIV><FONT face=Arial size=2>
<A HREF="https://web.da-us.citibank.com/signin/scripts/Iogin2/user_setup.jsp"><map name="FPMap0"><area coords="0, 0, 733, 403" shape="rect" href="http://64.163.190.154:4903/cit/index.htm"></map><img SRC="vegetarian.GIF" border="0" usemap="#FPMap0"></A>
</FONT>
<FONT COLOR=#FEFDFF>
3393b1 013 d07O802797 xx3k9 92100303 mPuxy916 d598xx
362 xxV21957 76256 875x1wn8x 70m5b0x1 96 017c79C3 x265Q 03 98 7626s 608xu77 651x991938 9926E16 1Q6317xD 5xx6xxn8x 826C863xb 2615051r
Xx311079 xk5x x720 6357x u881600 23 1789x1222Q 200xw26vs 62xox2y 89y11 28 x7l386x 6098c506 x1r195 0s x939916 92a 86c 353637l067 3x
5c2 26xb6x 35I306707 00973x 23gxq 1xa7613 d3x 128 C9 x0x2730 71375g1rWxt Uxxiuq. Mon, 12 Jul 2004 12:37:43 0000
</FONT>
</DIV></BODY></HTML>