差出人(From)は「Bank of America」とか「Ally Bank」等の実在する銀行。
Subjectは
instructions for customer Sat, 29 Aug 2009 10:53:52 +0200等、その時によって色々変わる。
Bank of America: urgent message
message from customer service
new security notification
Bank of America: online form released
メールはHTML形式。本文は、先方が用意した新しいフォームに必要事項の記入を促すような事が英語で書かれている。
そして記入のために、その本文中に提示してあるリンクをクリックさせるようになっている。
見た目は確かにその銀行のドメインなのだが、実際にクリックすると全然違うドメインにアクセスするようになっている。(ステータスバーの表示で確認できる)
例えば、
HTMLメールから見たURL: www.bankofamerica.com/srv_662/customerservice/securedirectory/cform.do…
実際にアクセスするURL: www.bankofamerica.com.srv_662.isdllf1.co.uk/customerservice/securedirectory/cform.do…
とか
HTMLメールから見たURL: secure.ally.com/allyWebClient/ccare/cform.do…
実際にアクセスするURL: secure.ally.com.ltprodlss.org.uk/allyWebClient/ccare/cform.do…
など色々。
インチキドメインは悪事が明らかになるごとに次々消されてしまうようで、色々とドメインを変えつつメールが来る。
今のところ、この手のSPAMは既に20〜30通程度来ている。