りそな銀行偽メール

久しぶりの銀行偽メール。今日は「りそな銀行」偽メールをお届けします。

こんにちは!
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「りそな銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。以下のページより登録を続けてください。

リンクをクリックしたら、もう潰れていた。O365 (Office365) の APT機能が試せなかった。中国鯖でIISエラーが帰ってきた。

スクリーンショット 2016-01-28 22.11.55

そもそも、りそな銀行のドメインは、resonabank.co.jpだし。resona-gr.co.jpも利用しているのかな?

それでは、ヘッダ文を読み解いていこう。

SFP:;SCL:9;  ←SCL値が7〜9であれば、極めて高い確率でスパムという判断です。Office365の場合。

Authentication-Results: spf=none (sender IP is 223.255.210.216)
smtp.mailfrom=resona-gr.co.jp;

↑IPは韓国ですねぇ。りそなグループドメインのメル鯖、貧弱なのかなぁ?細工が見られない。ん〜〜〜

Content-Type: text/html; charset=”GB2312“ ←簡体中国語でオチですかぁ?

今回は結構細工されていて、メールサーバーが乗っ取られているっぽいと思わせながら、最後に、キャラクターセットが中国語というオチがあった。

 

(参考)【偽の電子メールにご注意ください】銀行を装った、ID・パスワード等の入力を求める不審な電子メールについて(りそなホールディングス)