UJP - 【労働金庫】お客さま情報等の確認について というフィッシングメール その2

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

ブログ - 【労働金庫】お客さま情報等の確認について というフィッシングメール その2

【労働金庫】お客さま情報等の確認について というフィッシングメール その2

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2024/8/29 3:06
 ろうきんを騙るフィッシングメールがプチブーム.

全国労働金庫協会 (ろうきん) をかたるフィッシング (2024/08/26)
https://www.antiphishing.jp/news/alert/rokin_20240826.html

 うちでは10通程度受け取っているけど,フィッシング対策協議会に乗っているのとはちょっと違うようだ.
 そして誘導先サイトがまだテイクダウンされてないものがあったので興味深くみてみた.


 メールヘッダを確認.


 やっぱりNTTPCコミュニケーションズのIPアドレスから送信されている.
 メールサーバの活性状態を確認してみる.
$ nmap 160.248.10.18🆑
Starting Nmap 7.95 ( https://nmap.org ) at 2024-08-29 02:47 JST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.05 seconds
$
 現在はテイクダウンされている模様.

 気になるのが,X-MailerのQQMail 2.xが気になって調べてみた.


 これはもしかしてNTTPCコミュニケーションズが提供しているサーバでメールサーバを動かしてメッセンジャーアプリのメーラーで送っているということだろうか.

 誘導先のサイトのpaulbillygrahamにアクセスしてみる.


 このフィッシングサイトは現在どこにあるか調べた.


 香港のデータセンタ.AppsBox Limitedなる会社組織の模様.その組織のサイトが不明だけど,名前的にはスマホアプリをやってる会社のように思える.

 whoisでドメインを調べてみる.

$ whois paulbillygraham.com🆑
   Domain Name: PAULBILLYGRAHAM.COM
   Registry Domain ID: 2827236281_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.gname.com
   Registrar URL: http://www.gname.com
   Updated Date: 2024-04-12T11:45:06Z
   Creation Date: 2023-11-05T06:40:34Z
   Registry Expiry Date: 2024-11-05T05:40:34Z
   Registrar: Gname.com Pte. Ltd.
   Registrar IANA ID: 1923
   Registrar Abuse Contact Email:
   Registrar Abuse Contact Phone:
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: A.SHARE-DNS.COM
   Name Server: B.SHARE-DNS.NET
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2024-08-28T17:05:59Z <<<

 現在どのようなサービスが稼働しているか確認してみる.

$ nmap paulbillygraham.com🆑
Starting Nmap 7.95 ( https://nmap.org ) at 2024-08-29 02:49 JST
Nmap scan report for paulbillygraham.com (43.226.17.6)
Host is up (0.047s latency).
Not shown: 995 filtered tcp ports (no-response)
PORT    STATE  SERVICE
20/tcp  closed ftp-data
21/tcp  open   ftp
22/tcp  closed ssh
80/tcp  open   http
443/tcp open   https

Nmap done: 1 IP address (1 host up) scanned in 45.77 seconds
$
 FTPとSSHが空いているのか.技術レベルは低そう.


 次にサイトを確認してみる.


 ろうきんは,ちょっと特殊な銀行で,地域ごとに銀行があって,その集まりになっている.なのでその銀行ごとにログインサイトに遷移するようだけど,リンク先のパラメータが興味深い.


 パラメータが中国語になっている.


 paulbillygrahamで調べるとインド人がヒットした.

トラックバック


広告スペース
Google