ブログ - 【重要なお知らせ】えきねっとアカウントのロックを解除、情報を更新してください。というフィッシングメール
【重要なお知らせ】えきねっとアカウントのロックを解除、情報を更新してください。というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/29 15:16
えきねっとを騙るフィッシングメールも多数来るけれど,以前確認したこれとかこれはうまく調査できなかったのだけれど,今回はチェックできました.
クレジットカード番号を入力したらエラーになったのは今回が初めてかな.これ,毎回オーソリー処理がかかっていたら,このフィッシングサイト運営組織は支払い費用だけで大変なことになりそう...
まずは到着したメール.
誘導先のFQDNを確認したらこんな感じ.
whoisすると意外な?
取得してから1週間.
BRドメイン株式会社という会社がレジストラで,京都にある模様.でも中国事業をやっている感じ?
「中国プロモーション」というリンクを踏んでみたけれど,この感じ.
Microsoft EdgeでもGoogle Chromeでも同じ結果...
脱線はそれくらいにしておいて,誘導先のURLへ.
テイクダウンされてなくてちゃんと接続できました.
いつもの適当なメールアドレスと無茶苦茶なパスワードでログインの試行.
ログインできました.
住所氏名をそつなく入力.
クレジットカード番号の入力画面へ.そもそもメールで「アカウントの利用確認」という内容で問い合わせてきたのに,住所やクレジットカード番号を入力させようとするのは飛躍もはなはだしい.
そしてクレジットカード番号の登録を行うと,どうもオーソリーを通しているようで,しばらく経つとカード番号を間違っているとエラーになる.
エラーと言いつつ,ちゃんと記録して搾取しているとか,エラーにする事で他のクレジットカード番号を入力させて複数ゲットする目的なのか?,この「エラー」の意図は不明だけれど,正しいクレジットカード番号を入力するわけにはいかないのでWebサイト上の調査はここまでかな.
次にメールヘッダを確認.
Azureのサーバを使っていたりする事でIPアドレスによるブラックリスト認定されないように細工したりしてますね.Foxmail 6や003_Dragonなどの足跡も特徴的.
クレジットカード番号を入力したらエラーになったのは今回が初めてかな.これ,毎回オーソリー処理がかかっていたら,このフィッシングサイト運営組織は支払い費用だけで大変なことになりそう...
まずは到着したメール.
誘導先のFQDNを確認したらこんな感じ.
whoisすると意外な?
Domain Name: ISOO1.COM
Registry Domain ID: 2719938433_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namegear.co
Registrar URL: http://www.brdomain.jp
Updated Date: 2022-08-22T14:35:06Z
Creation Date: 2022-08-22T14:27:45Z 🈁
Registry Expiry Date: 2023-08-22T14:27:45Z
Registrar: BR domain Inc. dba namegear.co
Registrar IANA ID: 1898
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: A.DNSPOD.COM
Name Server: B.DNSPOD.COM
Name Server: C.DNSPOD.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2022-08-29T05:44:46Z <<<
BRドメイン株式会社という会社がレジストラで,京都にある模様.でも中国事業をやっている感じ?
「中国プロモーション」というリンクを踏んでみたけれど,この感じ.
Microsoft EdgeでもGoogle Chromeでも同じ結果...
脱線はそれくらいにしておいて,誘導先のURLへ.
テイクダウンされてなくてちゃんと接続できました.
いつもの適当なメールアドレスと無茶苦茶なパスワードでログインの試行.
ログインできました.
住所氏名をそつなく入力.
クレジットカード番号の入力画面へ.そもそもメールで「アカウントの利用確認」という内容で問い合わせてきたのに,住所やクレジットカード番号を入力させようとするのは飛躍もはなはだしい.
そしてクレジットカード番号の登録を行うと,どうもオーソリーを通しているようで,しばらく経つとカード番号を間違っているとエラーになる.
エラーと言いつつ,ちゃんと記録して搾取しているとか,エラーにする事で他のクレジットカード番号を入力させて複数ゲットする目的なのか?,この「エラー」の意図は不明だけれど,正しいクレジットカード番号を入力するわけにはいかないのでWebサイト上の調査はここまでかな.
次にメールヘッダを確認.
Azureのサーバを使っていたりする事でIPアドレスによるブラックリスト認定されないように細工したりしてますね.Foxmail 6や003_Dragonなどの足跡も特徴的.
