ブログ - 090982お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】 というフィッシングメール
090982お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】 というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2024/7/3 9:52
ヤフーを踏み台にした感じで誘導先FQDNに転送しようとする手口.実際にはYahooに見せかけたURLをユニコードでスラッシュに見える文字をURLに入れて偽装している.
引用:
やっぱ外国語的なニュアンスで話が展開しているよね.
誘導先を確認してみる.
誘導先URLはエンコードされていることがわかるのでエンコードマニアックスを使ってデコードしてみる.
誘導先のURLが"https[:]//yahoo.co.jp∕zEoyLNocCGBy"となっているけど,「co.jp∕」の「∕」に注目.
「/」に見えるけど,
「∕」はちょっと違う.UnicodeU+2215で表現されている.
誘導先のURLにアクセスしてみる.
誘導先ではさらに別のサイトに転送されている.URLの最後のyadaauht[.]comを消してみると本来のyahoo.co.jpを偽装していることがわかりやすい.
視覚的なところで騙しているということだな.
最近取得されたドメインで,テンセントなので中華系.
誘導元のドメインも比較的新しい.
引用:
こちらは、【ヤマト運輸】のカスタマーサ ポートです。
この度は、弊社をご利用いただきありがと うございます。お客様が送信された荷物に関しまして、宛先不明という状況に陥ってし まったようで、大変残念でございます。宛先と電話番号に誤りがありましたため、 配送できないことになっています。
下記通り、配送情報をご更新ください、 1〜2営業日以内に改めて配送を手配いたします。通常の使用に影響を与えないために。ヤマ ト通常の使用コンソールにログインし、所定の手順でお手続きください。状態: ご更 新を待っております
再配達依頼
※再配達手続きが2日以内に完了しない場合、商品は自動的に発送元に返送されますので、ご注意ください。
ご不便とご心配をおかけしまして誠に申し訳ございませんが、。何とぞご理解賜りたくお願い申しあげます。
注意:48時間以内にご確認がない場合、誠に申し訳ございません、 お客様の安全の為、アカウント の利用制限をさせていただきま すので、予めご了承ください。
---------------------------------------------------------------------------------------
※荷物のお届け遅延について 最新のお荷物の集配および直営店の営業状況は、こちらをご確認ください。
※ヤマト運輸
※メール配信解除はこちらよりお手続き下さい
このメールは送信専用のため、ご返信いただけません。
-------------------------------------------------------------------------------
やっぱ外国語的なニュアンスで話が展開しているよね.
誘導先を確認してみる.
誘導先URLはエンコードされていることがわかるのでエンコードマニアックスを使ってデコードしてみる.
誘導先のURLが"https[:]//yahoo.co.jp∕zEoyLNocCGBy"となっているけど,「co.jp∕」の「∕」に注目.
「/」に見えるけど,
「∕」はちょっと違う.UnicodeU+2215で表現されている.
誘導先のURLにアクセスしてみる.
$ curl -i https[:]//yahoo.co.jp∕zEoyLNocCGBy∕rYotpbTtrXnfl∕jmfXXXXXYWTjGE@yadaauht.com/
HTTP/2 302
location: https[:]//maonsjka.com/yaya
content-length: 0
content-type: text/html; charset=UTF-8
date: Wed, 03 Jul 2024 00:36:36 GMT
server: Apache
$
$ curl -i https[:]//yahoo.co.jp∕zEoyLNocCGBy∕rYotpbTtrXnfl∕jmfXXXXXYWTjGE
curl: (6) Could not resolve host: yahoo.co.xn--jpzeoylnoccgbyryotpbttrxnfljmfxjvolywtjge-q080aman
$
$ whois maonsjka.com🆑
Domain Name: MAONSJKA.COM
Registry Domain ID: 2894402639_DOMAIN_COM-VRSN
Registrar WHOIS Server: https://whois.cloud.tencent.com 🈁
Registrar URL: http://https://www.dnspod.com
Updated Date: 2024-06-27T13:29:07Z
Creation Date: 2024-06-27T13:29:07Z 🈁
Registry Expiry Date: 2025-06-27T13:29:07Z
Registrar: Aceville Pte. Ltd.
Registrar IANA ID: 3858
Registrar Abuse Contact Email: abuse@dnspod.com
Registrar Abuse Contact Phone: +86 10 62671188 x803707
Domain Status: ok https://icann.org/epp#ok
Name Server: A.DNSPOD.COM
Name Server: B.DNSPOD.COM
Name Server: C.DNSPOD.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2024-07-03T00:22:59Z <<<誘導元のドメインも比較的新しい.
$ whois yadaauht.com🆑
Domain Name: YADAAUHT.COM
Registry Domain ID: 2890732596_DOMAIN_COM-VRSN
Registrar WHOIS Server: https://whois.cloud.tencent.com 🈁
Registrar URL: http://https://www.dnspod.com
Updated Date: 2024-06-15T04:47:41Z
Creation Date: 2024-06-15T04:47:41Z 🈁
Registry Expiry Date: 2025-06-15T04:47:41Z
Registrar: Aceville Pte. Ltd.
Registrar IANA ID: 3858
Registrar Abuse Contact Email: abuse@dnspod.com
Registrar Abuse Contact Phone: +86 10 62671188 x803707
Domain Status: ok https://icann.org/epp#ok
Name Server: A.DNSPOD.COM
Name Server: B.DNSPOD.COM
Name Server: C.DNSPOD.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2024-07-03T00:44:40Z <<<