アドレスバーに表示されるアドレスを偽装しようとする、うちに来るのは初めての手口なようです。
以前に来ていたモノよりも巧妙なので、英語圏の人は注意しましょうね と日本語で言ってみたり。
日本語圏では、イーバンクを狙ったフィッシングメールが見つかったようなので、これに注意して下さいね。

Return-Path: <support@citibank.com>
Received: from unknown (HELO pool-141-157-102-26.balt.east.verizon.net) (141.157.102.26) by *.*.ne.jp with SMTP; 3 Nov 2004 07:10:35 +0900
Received: from smtp-hangman.envelop.support@citibank.com ([141.157.102.26]) by xo0-z87.support@citibank.com with Microsoft SMTPSVC(5.0.2444.9718); Tue, 02 Nov 2004 21:02:21 -0100
Received: (qmail 65081 invoked by uid 85); Tue, 02 Nov 2004 20:01:21 -0200
Date: Wed, 03 Nov 2004 03:01:21 +0500
Message-Id: <917566776.10508@support@citibank.com>
From: Citibank <support@citibank.com>
Subject: Citibank Online Security Message
MIME-Version: 1.0 (produced by beatificbecalm 3.1)

謎なReceived行がありますが、おそらく送信前に付加したものでしょう。
citibank.comから送信したように装っていますが、上の行に141.157.102.26の本当のFQDNがあったりします。
偽装が完全じゃないあたりが何とも言えません。


メール本文はHTMLのみのメール (画像)(source) となっています。
画像は、上がMozilla Thunderbirdにおけるうちの設定での表示で、下がソースをIEに突っ込んだ時のものですのでOutlook等での表示だと思います。
以前のメールのようにリンク先をエンコードしているということはなく、http://200.189.70.90/citi にそのままリンクしています。
このIPアドレスを含む200.128/9は、Comite Gestor da Internet no Brasilというブラジルの会社に割り当てられているようです。注目すべきは、アドレスバーに表示される自URLを偽装しようとする点です。
この画像ではアドレスバーの位置を標準から移動させていますので、ずれて見えて偽装しようとしていることが分かりますが、https://web.da-us.citibank.com/cgi-bin/citifi/scripts/login2/login.jspは実在するページであり、見た目は元のページそっくりに作ってあります。
アドレスバーの偽装はHTML_CITIFRAUD.Aの解説などを受けてのものと思われます。
IEにてアクティブスクリプトが有効になっていない場合には真っ白なウインドウになります。ここでもhttps://web.da-us.citibank.com/cgi-bin/citifi/scripts/infrastructure/portal.jsp?とアドレスバーの偽装があります。
実在するページのようですが、そっくりに作ってあるのかどうかはログインできないために分かりません。
main.phpとmember.phpには引数つきで渡されるのですが、「main.php?user=入力したID&pass=入力したパスワード」「member.php?user=入力したID&pass=入力したパスワード」とパスワードがユーザに見えるカタチで渡していたり。
アドレスバーを偽装しますので直接見えることはないのでしょうが、これではニセモノですよと言っているようなものですね。ここでもhttps://web.da-us.citibank.com/cgi-bin/citifi/scripts/login2/signoff_thanks.jsp?とアドレスバーの偽装があり、これは実在するページです。
アドレスバーはhttpsと偽装していますが、ステータスバーの鍵印のところまでは偽装しないようです。