ブログ - DMMを騙るフィッシングメール 「DMM セキュリティ警告: サインインが検出されました」
DMMを騙るフィッシングメール 「DMM セキュリティ警告: サインインが検出されました」
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/15 15:28
カミさんが見慣れないフィッシングメールが来たというので確認してみた.
SpamAssassinもスコアをつけてないしカスペルスキーもX-KLMS-AntiSpam-Rate: 0をつけてる.SPFとDKIM,DMARCをpassしているしrDNSでも名前が引ける点なども巧妙な感じ.
最近多いアマゾンやえきねっと,メルカリとは違う特徴のあるフィッシングメールでした.うちとしては新規参入業者という感じ.偽装URLのチェックもしてあるし.
メールはテキストだけれどutf8で,リンク先はdmm-acount[.]comとなって長いランダム数とメールアドレスがパラーメータになっている.
パラメータの中身をちょっと変えてメアドを変えてアクセスしてみた.
よくあるアカウントを入力させる画面.というか「お客様のアカウントで異常な行為が検出されたため」なので急にクレジットカード番号を入力させるという違和感.
SSL証明書を確認するとLet's Encryptでした.やはり無料のSSLは信頼が無いなぁ..確実にこれをフィッシング業者が使っているからなぁ.
パラメータを無視して,ドメインのトップにアクセスしてみる.
NameSiloというアメリカのレジストラで登録している模様.whois情報を検索.
出てこない!? 代わりにNameSiloのwhoisサーバを利用して調査.
NameSilo
https://www.namesilo.com/whois
登録日くらいしか情報は取れませんね.
VirusTotalで評価を確認.
悪性の報告は無い模様.
むちゃくちゃなメアドを入力してみる.
本物のDMMのサイトに転送されて終わり.
GoogleのDNSサーバで検索.
Aレコードが見つからない.
次にCloudFlareのDNSを使って検索.
IPアドレスが出てきた.
該当IPアドレスをAbuseIPDBでチェック.
日本のpotaさんから報告がある模様.私も報告しておきました.
SpamAssassinもスコアをつけてないしカスペルスキーもX-KLMS-AntiSpam-Rate: 0をつけてる.SPFとDKIM,DMARCをpassしているしrDNSでも名前が引ける点なども巧妙な感じ.
最近多いアマゾンやえきねっと,メルカリとは違う特徴のあるフィッシングメールでした.うちとしては新規参入業者という感じ.偽装URLのチェックもしてあるし.
メールはテキストだけれどutf8で,リンク先はdmm-acount[.]comとなって長いランダム数とメールアドレスがパラーメータになっている.
パラメータの中身をちょっと変えてメアドを変えてアクセスしてみた.
よくあるアカウントを入力させる画面.というか「お客様のアカウントで異常な行為が検出されたため」なので急にクレジットカード番号を入力させるという違和感.
SSL証明書を確認するとLet's Encryptでした.やはり無料のSSLは信頼が無いなぁ..確実にこれをフィッシング業者が使っているからなぁ.
パラメータを無視して,ドメインのトップにアクセスしてみる.
NameSiloというアメリカのレジストラで登録している模様.whois情報を検索.
$ whois dmm-account.com 🆑
# whois.namesilo.com
Unknown domain name dmm-account.com🈁
$
NameSilo
https://www.namesilo.com/whois
Domain Name: DMM-ACCOUNT.COM
Registry Domain ID: 2675739707_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: http://www.namesilo.com
Updated Date: 2022-03-14T15:53:02Z
Creation Date: 2022-02-17T07:47:47Z 🈁
Registry Expiry Date: 2023-02-17T07:47:47Z
Registrar: NameSilo, LLC
VirusTotalで評価を確認.
悪性の報告は無い模様.
むちゃくちゃなメアドを入力してみる.
本物のDMMのサイトに転送されて終わり.
GoogleのDNSサーバで検索.
$ dig dmm-account.com @8.8.8.8🈁
; <<>> DiG 9.10.6 <<>> dmm-account.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 30475
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;dmm-account.com. IN A 🈁 無い!
;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com.
1647278633 1800 900 604800 86400
;; Query time: 114 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Mar 15 02:24:13 JST 2022
;; MSG SIZE rcvd: 117
$
次にCloudFlareのDNSを使って検索.
$ dig dmm-account.com @1.1.1.1🆑
; <<>> DiG 9.10.6 <<>> dmm-account.com @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16575
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;dmm-account.com. IN A
;; ANSWER SECTION:
dmm-account.com. 658 IN A 190.123.44.172 🈁
;; Query time: 9 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Tue Mar 15 02:24:34 JST 2022
;; MSG SIZE rcvd: 60
$
該当IPアドレスをAbuseIPDBでチェック.
日本のpotaさんから報告がある模様.私も報告しておきました.
