「OMCカード」会員向けサイトを装う偽サイトに注意 - カード番号やセキュリティコードを詐取

セディナが発行するクレジットカード「OMCカード」の会員向けサービス「OMC Plus」を装ったフィッシングサイトが確認された。2月17日15時の時点でも稼働している模様だ。

「OMC Plus」の正規サイト（上）とフィッシングサイト（下）。デザインや入力項目がほぼ同様のため、見た目だけで判別することは困難

フィッシング対策協議会によれば、今回確認されたのは、フィッシングメールにより偽サイトへ誘導する手口。フィッシングメールでは、「同サービスが第三者のアクセスを受け、登録IDを暫定的に変更した」などと騙して、フィッシングサイトへ誘導する。

誘導先のフィッシングサイトは、「OMC Plus」の新規登録ページを盗用して作成されていた。氏名や生年月日、電話番号、メールアドレスのほか、クレジットカード番号や、セキュリティコード、有効期限を騙し取る。またIDやパスワードを登録させるため、それらを他サービスで使い回している場合、不正ログインに悪用されるおそれもある。

正規サイトである「OMC Plus」の新規登録ページでも、同様の入力項目が用意されており、デザインや入力項目から偽サイトと判断することは困難。正規サイトであるか、ドメインやサイトのSSL証明書を確認しなければ、フィッシングサイトと判断することは難しい。

また同サービスの正規ドメインは「plus.omc-card.co.jp」だが、今回確認されたケースでは、フィッシングサイトに「plusomc-caordjp.com」と酷似したドメインを悪用しており、ドメイン名を確認する場合も、十分な注意が求められる。

2月17日15時の時点でフィッシングサイトは稼働している状態が続いている。フィッシング対策協議会では、フィッシングサイトを閉鎖するためにJPCERTコーディネーションセンターへ調査を依頼した。

今回のケースに限らず、今後も同様の攻撃が発生する可能性があるとして、セディナやフィッシング対策協議会は、フィッシングサイトへ誤ってIDやパスワードといった情報を送信しないよう注意を呼びかけている。

（Security NEXT - 2014/02/17 ） ツイート

PR

関連記事

クレカブランド「セディナ」装うフィッシング攻撃が発生
「セディナビ」装うフィッシングに注意 - 「利用確認」を偽装
クレカ明細サービス装うフィッシング攻撃 - 「信頼性高めるため」などと本文中URLからのアクセス促す
銀行狙わぬ「バンキングトロジャン」も - 標的はクレカやアカウント、仮想通貨も
OMCカード会員狙うフィッシング - 約1年3カ月ぶりの注意喚起
クレジットカード会社の偽サイト相次ぐ - 攻撃対象拡大に警戒を
OMCカード利用者狙うフィッシング - セゾンのケースと酷似
「クレジット取引セキュリティ対策協議会」が発足 - 世界最高水準の環境目指す
顧客情報記載の書類が所在不明に - セディナ
OMCカードの会員サイトに不正ログイン - ポイントの不正交換が発生