***********************************
【件名】
【そな銀行】本人認証サービス
【差出人】
そな銀行 (**580206@yahoo.co.jp)
【本文】
お使いのメールアドレスを確認してください
***********************************
本人認証サービスのリンクは変更してあります。
実際は、 http://www.lppo*.com/Img/index.htm (一部伏字)でした。
そな銀行とは、りそな銀行のことでしょう。
リンクへ飛んでみると、
http://mp.resona-gr.co.jp.r*l.co.in/mypage/MPMB010X010M.mp/?BK=0010 (一部伏字)
に、飛ばされました。
インドのサーバーのようです。
/mypage/MPMB010X010M.mp/?BK=0010 というのは、本物のサイトと同じです。
飛ばされた先は、フィッシィングサイトで、本物とそっくりです。
ですが、見比べてみると、字体が少し違いますね。
ソースをみると、ほぼ同じで、コピペして、スタイルシートとJavaScriptのリンク先が違うだけです。
本物は「/mypage/css/」に置いてありますが、偽者は、同じ階層に置いてあります。
あとは、ok.aspというActiveServerPagesが使用されています。
ヘルプなど、他のページへのリンク先は、本物のページへのリンクになっていました。
それでは、ログインしようとしてみます。
まず、何も入力せずにログインすると、白いページに「NOP」と3文字だけ表示されました。
No Operation (何もしない)の略でしょうか。
ちなみに本物であれば、ログインページと同じデザインで、間違っている旨が表示されます。
IDとパスワードを片方のみ入力しても同じく、NOPでした。
両方をとりあえず1字だけ入力すると、次に進めました。
「ログインパスワードを入力してください。」の画面が表示されます。
りそなの口座を持っていないので、本物と比較できないのですが、デザイン的に本物と同じだと思います。
入力しない場合は、先ほどと同じく、NOPです。
「ログインパスワードをお忘れの方はこちら」をクリックすると、中国語で404(ページが存在しない)が表示されました。
ログインパスワードも1字入力して、ログインしてみます。
「確認番号入力」画面が表示されました。
ここで、不思議なことが!!
「Copyright (c) 2014 Resona Holdings, Inc. All Rights Reserved. 」
と書いてあるのに、ヘッダーバーには「三菱東京UFJ銀行」とあります。
さらに「本サイトのご利用にあたって 」のリンク先は、本物の三菱東京UFJ銀行となっています。
デザイン的に考えて、Copyrightだけ変えて、三菱東京UFJ銀行を流用しているのでしょうか。
最後の一手間を惜しむとは・・・
まあ、りそなにこういう画面があるかどうかも知りませんが。
何も入力しないで確認を押すと、「確認番号を入力してください。」とダイアログが表示されます。
10桁入力して確認を押すと、「2行目から・・・」となって、以降行数がずれていきます。
5行目まで、入力すると・・・
・・・
このメッセージが、1瞬だけ、りそなのデザインで表示され、最初の画面に戻りました。
というわけで、レポ終了です。
ID・パスワード・オンラインパスワード・確認番号を抜かれて終わりですね。
りそなの場合、確認番号の表が同じ作りなのかは分かりませんが、その前の3つは既に送信しちゃっているわけなので、確認番号の画面で、「あれ?」と思っても手遅れです。
フィッシングサイトには気をつけましょう。
