ブログ - You Have [5] Undelivered Message(s) メール送信エラーを装うフィッシングメール
You Have [5] Undelivered Message(s) メール送信エラーを装うフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2023/1/24 13:36
Mail Delivery Subsystemからのメールだと,送信エラーかな?と思っちゃう所でフィッシングサイトに誘導しようとする手口の模様.
誘導先のドメインURLにアクセスするとデータセンタ業者が用意しているページが表示されるが,パラメータ付きの誘導先URLにアクセスするとログイン画面が出てきた.
ログイン画面は,Plesk(プレスク)の管理画面のようにも見えるので,既にテイクダウン済みかもしれない状態.動きが2022年3月のcPanelの手口に非常に似ています.
メールヘッダを調べると,モルドバのデータセンタ業者,オランダのMicrosoft Azureを経由していて,Authentication-Resultsで確認してもSPFもpassとなっているので迷惑メールと判断しづらい.
また,Fromアドレス.gaドメインで,これはガボン共和国のもので,ドメインが無料で取得できるサービスもあるので,それを悪用している模様.
受信したのはこのようなメール.誘導先のリンクには,受信者のドメインが付加されている.
誘導先のリンクにアクセスしてみる.
ログイン画面が出てくるが,Plesk(プレスク)の管理画面のようにも見える.Pleskを使った事がないのだけれど・・・
メアドとパスワード(ランダム)でログインを試みたけれどエラー隣どうし用もない.IDとアカウントが飲み込まれているだけかもしれないし,正規のPleskのログイン画面なのかもしれない.その点も動きが2022年3月のcPanelの手口に非常に似ている点.
ドメインをVirusTotalで調べるといくつかのセキュリティベンダがフィッシングと判断.
トレンドマイクロ的にはSafeと.
シマンテックでも危険とは出てきません.
AbuseIPDBでは報告されているけれどスコアが悪いわけではありませんね.ホスティング事業者のIPなので,そういう評価になりやすいかも.
メールヘッダを確認.
メールヘッダを調べると,モルドバのデータセンタ業者,オランダのMicrosoft Azureを経由していて,Authentication-Resultsで確認してもSPFもpassとなっているので迷惑メールと判断しづらい.
送信メアドのドメインをwhoisで調べる.
TLDのGAはwhoisサーバで調べられない模様.指示通りURLにアクセス.
送信者のメールアドレスの検索してみる.
やはり無料で取得されたメアドですね.
不正使用を報告するにはメアドが必要という事なので,ちょっとまたやりづらいな.(報告したメアドが漏洩するかもしれないし)
誘導先のドメインURLにアクセスするとデータセンタ業者が用意しているページが表示されるが,パラメータ付きの誘導先URLにアクセスするとログイン画面が出てきた.
ログイン画面は,Plesk(プレスク)の管理画面のようにも見えるので,既にテイクダウン済みかもしれない状態.動きが2022年3月のcPanelの手口に非常に似ています.
メールヘッダを調べると,モルドバのデータセンタ業者,オランダのMicrosoft Azureを経由していて,Authentication-Resultsで確認してもSPFもpassとなっているので迷惑メールと判断しづらい.
また,Fromアドレス.gaドメインで,これはガボン共和国のもので,ドメインが無料で取得できるサービスもあるので,それを悪用している模様.
受信したのはこのようなメール.誘導先のリンクには,受信者のドメインが付加されている.
誘導先のリンクにアクセスしてみる.
ログイン画面が出てくるが,Plesk(プレスク)の管理画面のようにも見える.Pleskを使った事がないのだけれど・・・
メアドとパスワード(ランダム)でログインを試みたけれどエラー隣どうし用もない.IDとアカウントが飲み込まれているだけかもしれないし,正規のPleskのログイン画面なのかもしれない.その点も動きが2022年3月のcPanelの手口に非常に似ている点.
ドメインをVirusTotalで調べるといくつかのセキュリティベンダがフィッシングと判断.
トレンドマイクロ的にはSafeと.
シマンテックでも危険とは出てきません.
AbuseIPDBでは報告されているけれどスコアが悪いわけではありませんね.ホスティング事業者のIPなので,そういう評価になりやすいかも.
メールヘッダを確認.
メールヘッダを調べると,モルドバのデータセンタ業者,オランダのMicrosoft Azureを経由していて,Authentication-Resultsで確認してもSPFもpassとなっているので迷惑メールと判断しづらい.
送信メアドのドメインをwhoisで調べる.
$ whois oxacamail.ga🆑
This TLD has no whois server, but you can access the whois database at
http://www.my.ga/en/whois.html
$送信者のメールアドレスの検索してみる.
やはり無料で取得されたメアドですね.
不正使用を報告するにはメアドが必要という事なので,ちょっとまたやりづらいな.(報告したメアドが漏洩するかもしれないし)
