ブログ - 【労働金庫】お客さま情報等の確認について というフィッシングメール その2
ろうきんを騙るフィッシングメールがプチブーム.
全国労働金庫協会 (ろうきん) をかたるフィッシング (2024/08/26)
https://www.antiphishing.jp/news/alert/rokin_20240826.html
うちでは10通程度受け取っているけど,フィッシング対策協議会に乗っているのとはちょっと違うようだ.
そして誘導先サイトがまだテイクダウンされてないものがあったので興味深くみてみた.

メールヘッダを確認.

やっぱりNTTPCコミュニケーションズのIPアドレスから送信されている.
メールサーバの活性状態を確認してみる. 現在はテイクダウンされている模様.
気になるのが,X-MailerのQQMail 2.xが気になって調べてみた.

これはもしかしてNTTPCコミュニケーションズが提供しているサーバでメールサーバを動かしてメッセンジャーアプリのメーラーで送っているということだろうか.
誘導先のサイトのpaulbillygrahamにアクセスしてみる.

このフィッシングサイトは現在どこにあるか調べた.

香港のデータセンタ.AppsBox Limitedなる会社組織の模様.その組織のサイトが不明だけど,名前的にはスマホアプリをやってる会社のように思える.
whoisでドメインを調べてみる.
現在どのようなサービスが稼働しているか確認してみる.
FTPとSSHが空いているのか.技術レベルは低そう.
次にサイトを確認してみる.

ろうきんは,ちょっと特殊な銀行で,地域ごとに銀行があって,その集まりになっている.なのでその銀行ごとにログインサイトに遷移するようだけど,リンク先のパラメータが興味深い.

パラメータが中国語になっている.

paulbillygrahamで調べるとインド人がヒットした.

全国労働金庫協会 (ろうきん) をかたるフィッシング (2024/08/26)
https://www.antiphishing.jp/news/alert/rokin_20240826.html
うちでは10通程度受け取っているけど,フィッシング対策協議会に乗っているのとはちょっと違うようだ.
そして誘導先サイトがまだテイクダウンされてないものがあったので興味深くみてみた.

メールヘッダを確認.

やっぱりNTTPCコミュニケーションズのIPアドレスから送信されている.
メールサーバの活性状態を確認してみる.
$ nmap 160.248.10.18🆑
Starting Nmap 7.95 ( https://nmap.org ) at 2024-08-29 02:47 JST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.05 seconds
$
気になるのが,X-MailerのQQMail 2.xが気になって調べてみた.

これはもしかしてNTTPCコミュニケーションズが提供しているサーバでメールサーバを動かしてメッセンジャーアプリのメーラーで送っているということだろうか.
誘導先のサイトのpaulbillygrahamにアクセスしてみる.

このフィッシングサイトは現在どこにあるか調べた.

香港のデータセンタ.AppsBox Limitedなる会社組織の模様.その組織のサイトが不明だけど,名前的にはスマホアプリをやってる会社のように思える.
whoisでドメインを調べてみる.
$ whois paulbillygraham.com🆑
Domain Name: PAULBILLYGRAHAM.COM
Registry Domain ID: 2827236281_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.gname.com
Registrar URL: http://www.gname.com
Updated Date: 2024-04-12T11:45:06Z
Creation Date: 2023-11-05T06:40:34Z
Registry Expiry Date: 2024-11-05T05:40:34Z
Registrar: Gname.com Pte. Ltd.
Registrar IANA ID: 1923
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: A.SHARE-DNS.COM
Name Server: B.SHARE-DNS.NET
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2024-08-28T17:05:59Z <<<
現在どのようなサービスが稼働しているか確認してみる.
$ nmap paulbillygraham.com🆑
Starting Nmap 7.95 ( https://nmap.org ) at 2024-08-29 02:49 JST
Nmap scan report for paulbillygraham.com (43.226.17.6)
Host is up (0.047s latency).
Not shown: 995 filtered tcp ports (no-response)
PORT STATE SERVICE
20/tcp closed ftp-data
21/tcp open ftp
22/tcp closed ssh
80/tcp open http
443/tcp open https
Nmap done: 1 IP address (1 host up) scanned in 45.77 seconds
$
次にサイトを確認してみる.

ろうきんは,ちょっと特殊な銀行で,地域ごとに銀行があって,その集まりになっている.なのでその銀行ごとにログインサイトに遷移するようだけど,リンク先のパラメータが興味深い.

パラメータが中国語になっている.

paulbillygrahamで調べるとインド人がヒットした.
