ブログ - ATTENTION: Your Apple ID may be suspended という迷惑メール
ATTENTION: Your Apple ID may be suspended という迷惑メール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2023/8/16 15:12
iCloudを騙るフィッシングメールが,iCloudを使ってないメアドに着弾.
調べていくと,何かのサブスクにPayPalで支払って入らせようとしているっぽい.
メールヘッダを見ると南アメリカのブラジルと思われる送信者がアメリカでホスティングされているメールサーバを使い,メール本文はBASE64でエンコードされているが,デコードして取り出しURLにアクセスすると,ツイッター上の画像ファイルが表示され,その画像にはQRコードがあり,500ドルのギフトカードがもらえると記載がある.
QRコードを読み撮ってやっと目的のサイトにアクセスできるという,巧妙だけど手数が多いのでとても面倒.
メールの本文は主に画像で,ボタンのような画像にもリンクは付いてない状態.
リンク先のFQDNを調べてみた.
既にリンク先やトップページは閉鎖されていました.
メールヘッダを確認.
アメリカのホスティング会社の管理するIPアドレスからの送信だけど,GMTを見るとマイナス4なので時間帯的には南アメリカの中央部分あたりの国.ブラジルじゃ無いかな.
SpamAssasinのスコアは低いけれど,今回目立ったのはHTML_IMAGE_ONLY_12=2.059というもの.これはその名の通り本文が画像だけとなっている.
実際にはソースコードを見ると,BASE64エンコーディングされた本文になっている.
これをエンコードマニアクスでデコードすると次の通り.
イメージマップは設定されいるようだけど,正しく機能してないね.
リンクにあるURLに直接アクセスすると,このようなURLに届きます.
ツイッターの画像で,QRコードが書かれていますね.これをQRコードリーダに読ませた結果,次のようになる.
このURLにアクセス.
500ドルのギフトがもらえるっぽい.その500ドルで何が欲しいかを選択.
ペイパルのアカウントを持ってないのでNoを選択.
最初の画像に戻ってしまった.
一旦ブラウザバックで戻って,Yesを選択.
ペイパルでログインして7.99ドルでサブスクに入れと言われている.Continueを選択.
ペイパルでのログインを催促される.
PayPalのアカウントは持ってないので,キャンセルしてSP Two Ltdに戻ってみる.なんだそれ.
何かのサイトに転送された.
このextrareward4you[.]comというサイトについて評価サイトを使って調査.
まずはAbuseIPDBで確認.
フランスのAWSのサーバを使っている模様.
VirusTotalでは可もなく不可もなく.
トレンドマイクロだとテストされたことがない模様.
SCAMADVISERでは,「リスクの可能性が少しあるかもしれません」となりました.これはやはりドメイン年齢が幼いからかな.
whoisでドメイン調査.
ドメイン年齢が若いが,悪いってわけでもなさそう.
最後に,verse-content[.]comなるサイトをと調べると次のように.
VirusTotalでの評価は良くない模様.
普通にURLをGoogleで検索すると,このようなものが出てきた.
ベネズエラか.やっぱりベネズエラといえば私の世代はシャクティパットだけどな.
調べていくと,何かのサブスクにPayPalで支払って入らせようとしているっぽい.
メールヘッダを見ると南アメリカのブラジルと思われる送信者がアメリカでホスティングされているメールサーバを使い,メール本文はBASE64でエンコードされているが,デコードして取り出しURLにアクセスすると,ツイッター上の画像ファイルが表示され,その画像にはQRコードがあり,500ドルのギフトカードがもらえると記載がある.
QRコードを読み撮ってやっと目的のサイトにアクセスできるという,巧妙だけど手数が多いのでとても面倒.
メールの本文は主に画像で,ボタンのような画像にもリンクは付いてない状態.
リンク先のFQDNを調べてみた.
既にリンク先やトップページは閉鎖されていました.
メールヘッダを確認.
アメリカのホスティング会社の管理するIPアドレスからの送信だけど,GMTを見るとマイナス4なので時間帯的には南アメリカの中央部分あたりの国.ブラジルじゃ無いかな.
SpamAssasinのスコアは低いけれど,今回目立ったのはHTML_IMAGE_ONLY_12=2.059というもの.これはその名の通り本文が画像だけとなっている.
実際にはソースコードを見ると,BASE64エンコーディングされた本文になっている.
これをエンコードマニアクスでデコードすると次の通り.
イメージマップは設定されいるようだけど,正しく機能してないね.
リンクにあるURLに直接アクセスすると,このようなURLに届きます.
ツイッターの画像で,QRコードが書かれていますね.これをQRコードリーダに読ませた結果,次のようになる.
このURLにアクセス.
500ドルのギフトがもらえるっぽい.その500ドルで何が欲しいかを選択.
ペイパルのアカウントを持ってないのでNoを選択.
最初の画像に戻ってしまった.
一旦ブラウザバックで戻って,Yesを選択.
ペイパルでログインして7.99ドルでサブスクに入れと言われている.Continueを選択.
ペイパルでのログインを催促される.
PayPalのアカウントは持ってないので,キャンセルしてSP Two Ltdに戻ってみる.なんだそれ.
何かのサイトに転送された.
このextrareward4you[.]comというサイトについて評価サイトを使って調査.
まずはAbuseIPDBで確認.
フランスのAWSのサーバを使っている模様.
VirusTotalでは可もなく不可もなく.
トレンドマイクロだとテストされたことがない模様.
SCAMADVISERでは,「リスクの可能性が少しあるかもしれません」となりました.これはやはりドメイン年齢が幼いからかな.
whoisでドメイン調査.
$ whois extrareward4you.com🆑
Domain Name: EXTRAREWARD4YOU.COM
Registry Domain ID: 2765547358_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.123-reg.co.uk
Registrar URL: http://www.meshdigital.com
Updated Date: 2023-04-19T08:49:33Z
Creation Date: 2023-03-16T11:35:38Z 🈁
Registry Expiry Date: 2025-03-16T11:35:38Z
Registrar: 123-Reg Limited
Registrar IANA ID: 1515
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: ok https://icann.org/epp#ok
Name Server: NS-1250.AWSDNS-28.ORG
Name Server: NS-1840.AWSDNS-38.CO.UK
Name Server: NS-258.AWSDNS-32.COM
Name Server: NS-885.AWSDNS-46.NET
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2023-08-16T05:25:23Z <<<
最後に,verse-content[.]comなるサイトをと調べると次のように.
VirusTotalでの評価は良くない模様.
普通にURLをGoogleで検索すると,このようなものが出てきた.
ベネズエラか.やっぱりベネズエラといえば私の世代はシャクティパットだけどな.
