ブログ - 【重要】緊急連絡、情報を確認してください。 という,えきねっとを騙るフィッシングメール
【重要】緊急連絡、情報を確認してください。 という,えきねっとを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/22 11:26
えきねっとを騙るフィッシングメールが,40分違いで2通,同じメアドに来たのだけれど,それぞれ調べてみたら,色々と違いはありますが行き着く先は同じでした.
メールは中国から送信し,誘導先はアメリカのサーバで攻撃先は日本,というテイクダウンする際に少々面倒な関係にしていますね.
8月末の【重要なお知らせ】えきねっとアカウントのロックを解除、情報を更新してください。というフィッシングメールと同じ人たちかな.
メール本文はこんな感じ.
引用:
まずは1通目.
うちでは昨日あたりから見かけるRebrandlyという短縮URLサイトを利用しています.
2通目も同じくRebrandlyという短縮URLサイトを利用.
次にメールヘッダを確認.1件目.
そして2件目.
プロバイダがChina UnicomとChina Telecomで違いはありますが,メール配信で利用しているツールが同じ.SpamAssasinのスコアも同一.
誘導先のURLにアクセスしてみます.
1通目は次の通り.
典型的なログインページに到達.
つぎに2通目.
2つ目のURLの方がMicrosoft Defender SmartScreenでブロックされていました.
次にwhois情報を確認.
1通目.
2通目.
どちらもNameSiloというアリゾナ州にあるレジストラを使用して昨日取得しています.
次に,サイトのIPアドレスを調べます.
なんと,IPアドレスが一緒でした.
AbuseIPDBで調べるとこのような感じ.
引用: ロサンゼルスにあるプロバイダが起源のホスティング会社.
メールは中国から送信し,誘導先はアメリカのサーバで攻撃先は日本,というテイクダウンする際に少々面倒な関係にしていますね.
8月末の【重要なお知らせ】えきねっとアカウントのロックを解除、情報を更新してください。というフィッシングメールと同じ人たちかな.
メール本文はこんな感じ.
引用:
えきねっとお客様
えきねっとおチームはあなたのアカウントの状態が異常であることを発見しました。バインディングされたカードが期限が切れていたり、システムのアップグレードによるアドレス情報が間違っていたりして、あなたのアカウント情報を更新できませんでした。
リアルタイム サポートをご利用ください
お客様のえきねっとおアカウントは 24 時間 365 日対応のサポートの対象となっておりますので、えきねっとお サポートチームにご連絡いただければ、アカウントの所有権の証明をお手伝いします
まずは1通目.
うちでは昨日あたりから見かけるRebrandlyという短縮URLサイトを利用しています.
2通目も同じくRebrandlyという短縮URLサイトを利用.
次にメールヘッダを確認.1件目.
そして2件目.
プロバイダがChina UnicomとChina Telecomで違いはありますが,メール配信で利用しているツールが同じ.SpamAssasinのスコアも同一.
誘導先のURLにアクセスしてみます.
1通目は次の通り.
典型的なログインページに到達.
つぎに2通目.
2つ目のURLの方がMicrosoft Defender SmartScreenでブロックされていました.
次にwhois情報を確認.
1通目.
Domain Name: mvaasyjrfw.top
Registry Domain ID: 20220921g10001g-88316252
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com/
Updated Date: 2022-09-21T07:00:00Z
Creation Date: 2022-09-21T07:00:00Z
Registrar Registration Expiration Date: 2023-09-21T07:00:00Z
Domain Name: xzhfdewjh.top
Registry Domain ID: 20220921g10001g-88316244
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com/
Updated Date: 2022-09-21T07:00:00Z
Creation Date: 2022-09-21T07:00:00Z
Registrar Registration Expiration Date: 2023-09-21T07:00:00Z
次に,サイトのIPアドレスを調べます.
$ dig mvaasyjrfw.top @1.1.1.1🆑
mvaasyjrfw.top. 7207 IN A 155.94.144.111
$
$ dig xzhfdewjh.top @1.1.1.1🆑
xzhfdewjh.top. 7207 IN A 155.94.144.111
$
AbuseIPDBで調べるとこのような感じ.
引用:
155.94.144.111 was not found in our database
ISP QuadraNet Enterprises LLC
Usage Type Data Center/Web Hosting/Transit
Hostname(s) 155.94.144.111.static.quadranet.com
Domain Name quadranet.com
Country United States of America
City Los Angeles, California
