UJP - 最も魅力的で美人なあなたに。 その2

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ セキュリティ の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - 最も魅力的で美人なあなたに。 その2

最も魅力的で美人なあなたに。 その2

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2021/12/28 16:26
 47件届いていたスパムメールを開封してみた.

 まず,ビットコインの振込先が2つある.

19iaNyTBn6mFUx5V6px8CRptnxzoeyyotH
1NhCW6qW3D6bCv8i2Kt2NmptfXkV1f2J7a

 そして送信時に使われているメアドは,';--have i been pwned?でピックアップで何件か確認すると漏洩が登録されているものではない.



 何通かトヨタ自動車のメアドがあったので,DMARCを確認してみた.
$ dig _dmarc.toyota.co.jp txt @8.8.8.8🆑

; <<>> DiG 9.10.6 <<>> _dmarc.toyota.co.jp txt @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29819
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_dmarc.toyota.co.jp.		IN	TXT🈁

;; AUTHORITY SECTION:
toyota.co.jp.		900	IN	SOA	ns1_auth.toyota.co.jp. 
postmaster.toyota.co.jp. 2020051948 900 3600 1209600 3600

;; Query time: 24 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Dec 28 15:36:53 JST 2021
;; MSG SIZE  rcvd: 104

$
 DMARCは設定されてない模様.
 他にも大阪大学とかどこかの中小企業などのメアドのなりすましがあったけれど,とりあえずはDMARCの設定は無い模様.



 スパムアサシンの評価スコアを確認してみる.

X-Spam-Status: Yes, score=15.125 tagged_above=2 required=6 
tests=[BITCOIN_MALF_HTML=3.499, 🈁
BITCOIN_SPAM_03=1, 
BITCOIN_XPRIO=0.001, 
DATE_IN_FUTURE_03_06=2.426, 🈁
HELO_DYNAMIC_IPADDR=3.243, 🈁
HTML_EXTRA_CLOSE=0.001, 
HTML_MESSAGE=0.001, 
MIME_CHARSET_FARAWAY=2.45, 🈁
MPART_ALT_DIFF=0.724, 
NO_FM_NAME_IP_HOSTN=0.001, 
PDS_BTC_ID=0.499, 
RCVD_IN_MSPIKE_BL=0.001, 
RCVD_IN_MSPIKE_ZBI=0.001, 
RDNS_NONE=1.274, 
SPF_HELO_NONE=0.001, 
SPF_NONE=0.001, 
TVD_SPACE_RATIO_MINFP=0.001, 
XPRIO=0.001] 
autolearn=no 
autolearn_force=no
X-Spam-Score: 15.125
 まずビットコインに関する項目が含まれているだけで4.5になるんだな.



 DATE_IN_FUTURE_03_06は,日付の差が3時間から6時間の未来になっているとのこと.
 調べるとこうなっていた.

Received: from ws18-120.43.202.rcil[.gov[.in (unknown [202.43.120[.18])
	for <迷惑メールをうけとったメルアド>; Tue, 28 Dec 2021 15:46:01 +0900 (JST)
Date: 28 Dec 2021 16:01:49 +0400
 受信時間が12/28 15:46(JSTつまり+9)だが,送信は12/28 16:01 +4時間となっていてつまり-5時間となる.
 ちなみにIPアドレスの202.43.120[.18]を調べるとインド.


 世界の時差を調べると,+4時間というエリア的には一致している感じ.
 そしてHELO_DYNAMIC_IPADDRがスコアが高いが,AbuseIPDBの調査だとFixed Line ISPとなっているので一致しますね.

 時差について.



参考:世界の時差について - シチズンウオッチ
https://citizen.jp/support-jp/manual/terms/deeper_05c.html

 スパムアサシンで検出できるくらいなので,素人か,あるいはDDoS的なことか...

トラックバック


広告スペース
Google