ブログ - 【American Expressカード】ご利用確認 というフィッシングメール
メールの見た目は6月に来たフィッシングメールに近いけれど今回はサイトがテイクダウンされていなかったので興味深く確認してみました.
まず,フィッシングメール.
リンク先のURLが既に怪しいのだけれど,アクセスしてみる.
誘導先のURLから本物のフィッシングサイトに転送されています.
転送前のFQDNはtight-pond-54f1.28kgwe168834.workers.devでCloudFlareでホスティングされています.
転送先のontinue-admin.longmusic[.]comが使っているFQDNのIPアドレスはGoogle Cloud Koreaになっていました.
次に,FQDNの調査を.
VirusTotalではまだスコアが低いもののFortinetとWebrootによってMalware,Malciousとして判定されています.
SiteReviewでは,動的DNSホストとSuspiciousとして評価済み.
SUCURIでは完全にブラックリスト扱い.
メールヘッダを確認してみます.
34.64.155.124がyahooo2.com.cnとなっているけれどGoogle Cloud Koreaです.
また,中国から発せられるフィッシングメールでよく使われているFoxMail 6もX-Mailerに記録されていました.
ドメインを調べてみます.
2000年に取得されたドメインのようで,Web Archiveを確認.
2014年ごろを最後にしばらく使われてなかった模様.
2013年時点ではダイナミックDNSを提供する会社だった模様.
サイトの作りっぷりを確認してみる.
この後エラーにもならずにクルクルのまま.
まず,フィッシングメール.
リンク先のURLが既に怪しいのだけれど,アクセスしてみる.
誘導先のURLから本物のフィッシングサイトに転送されています.
転送前のFQDNはtight-pond-54f1.28kgwe168834.workers.devでCloudFlareでホスティングされています.
転送先のontinue-admin.longmusic[.]comが使っているFQDNのIPアドレスはGoogle Cloud Koreaになっていました.
次に,FQDNの調査を.
VirusTotalではまだスコアが低いもののFortinetとWebrootによってMalware,Malciousとして判定されています.
SiteReviewでは,動的DNSホストとSuspiciousとして評価済み.
SUCURIでは完全にブラックリスト扱い.
メールヘッダを確認してみます.
34.64.155.124がyahooo2.com.cnとなっているけれどGoogle Cloud Koreaです.
また,中国から発せられるフィッシングメールでよく使われているFoxMail 6もX-Mailerに記録されていました.
ドメインを調べてみます.
# whois.PublicDomainRegistry.com
Domain Name: LONGMUSIC.COM
Registry Domain ID: 21165750_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.publicdomainregistry.com
Registrar URL: www.publicdomainregistry.com
Updated Date: 2021-12-27T08:02:10Z
Creation Date: 2000-03-02T18:06:30Z 🈁
Registrar Registration Expiration Date: 2023-03-02T18:06:30Z2000年に取得されたドメインのようで,Web Archiveを確認.
2014年ごろを最後にしばらく使われてなかった模様.
2013年時点ではダイナミックDNSを提供する会社だった模様.
サイトの作りっぷりを確認してみる.
この後エラーにもならずにクルクルのまま.
