件名：【三井住友カード当社サイトご利用制限のお知らせ】

約1ヶ月前、2024年12月15日（日）14時02分に届いたフィッシングメールです。
# なかなかフィッシングサイトが潰れなかったので、ネタにできずにいました。

図1. ホスト名に人様のメールアドレスのローカル部を含めてくるフィッシングメール

差出人　SMBCカード株式会社 <cobxxdthxmnhk@topfueler.com>

うん、三井住友カード感、全然ないメールアドレスだね。
表示名に「SMBCカード株式会社」って書いたからなんだっていうのかな？
電話口で「オレだよ、オレ」って言っているのと同じですよ？

ＳＭＢＣＣＡＲＤクラシック※会員 様

全角英数字やめよ？って情報の授業や情報リテラシの講義で習いませんでしたか？

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、サービスのご利用を一部制限させていただき、お客様のアカ ウントのに登録された電話番号にご連絡いたしましたが、お客様に連絡を取ることができませんでした。

1文、長すぎ。
国語の成績、悪いでしょ？

https://smbctest.masskarafestivals.com/?y=r76t

このURLが、まんまフィッシングサイトのURL且つリンクです。もう少しやりようがあるでしょう？
ホスト名（smbctest）に"SMBC"の文字列を含めているのですが、ドメインが"masskarafestivals.com"ともう絶望的にダメです。
そうそう、ホスト名にヒトのメールアドレス（test@example.com）のローカル部（test）を含めるの、やめてもらっていいですか？
# 後述もしますが、ホスト名は任意の文字列でサイトに繋がりました。

本メールの内容を無断で引用、転載することを禁じます。

フィッシングメール如きにそんなこと言われる筋合いはないし権利もない。

---

以下、稼働していた時点（2024年12月15日（日）20時頃）のフィッシングサイトです。

図2. 本物をコピーしているので当然本物そっくりなフィッシングサイト

上述しましたが、このフィッシングサイトのホスト名は任意の文字列でも（あるいはなくても）同じページを表示していたので、攻撃者を煽る（口撃する）べく、変なURLでのアクセスにしていますがご愛嬌。

図3. 例によって出鱈目なID/パスワードでログイン（？）しようとしているの図

このフィッシングサイト、手抜きのようで、IDに日本語（マルチバイト文字）を含めてもログイン（？）できました。
# きちんとした（？）フィシングサイトでは、文字種/文字数をチェックします。

図4. ログイン認証（？）後に表示される重要なお知らせ

メールで「ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので」とか言っておいて、結局それとは無関係に本人確認必要らしい。

図5. ログインしている想定ならカード番号等は紐づいているはずなのに入力を求められるの図

アカウントにカード番号紐づいているはずなのに、再度求めてくるのはお約束。
確認するとしても、セキュリティコードや有効期限くらいでしょ。知らんけど。

図6. 例によって出鱈目な情報を入力していく所存の図

カード番号はググれば出てくる例のテスト用の番号を入力し、有効期限は期限切れの月日を選択します。いつも通り（攻撃者をバカにしています）。

図7. セキュリティコードは例の画像の通りに入力して小馬鹿にするの図

セキュリティコードは考えるのも面倒なので、画面の例に出ている"123"で。

図8. 生年月日とカード名義は彼の征夷大将軍のものにしてみたの図

生年月日は、1543年01月31日生まれとしました。
カード名義人は、俺たちの征夷大将軍の徳川家康です。
# ただの思いつきです。
電話番号は、存在しない1から始まる市内局番の番号です。

図9. ［次へ進む］ボタンをクリックするとロードしてる感を演出しているの図

［次へ進む］ボタンをクリックすると、読み込んでいる感の演出を見せられます。バックグラウンドで正規サイトやカード払い等を試しているんでしょうか。

図10. 出鱈目な入力で送信した結果、もう1度入力しろと怒られるの図

怒られます。
フィッシングサイトによっては、この手のチェックはせず送信してもらったら、ごちそうさまする場合もあります。