UJP - 幸運なお客様に選ばれておめでとうございます。iPhone 14に超低価格で勝つチャンスがあります　というフィッシングメール

カテゴリセキュリティの最新配信
RSS
RDF
ATOM

ブログ - 幸運なお客様に選ばれておめでとうございます。iPhone 14に超低価格で勝つチャンスがあります　というフィッシングメール

幸運なお客様に選ばれておめでとうございます。iPhone 14に超低価格で勝つチャンスがあります　というフィッシングメール

カテゴリ :: セキュリティ » スパム・フィッシング

ブロガー :: ujpblog 2023/9/12 17:36

　なんかデザインがすごい．Apple風デザインの劣化感がすごい．このキャンペーンは，Amazonが開催しているiPhoneが720円で買えそうなキャンペーンと偽装して，毎月55.99ドル（日本円で今日現在で8,830円）を課金させいようというもののよう．
　フィッシングの一種だけどサブスクに登録させようというのは珍しいかもしれない．

引用：

このEメールを読めませんか？ブラウザで表示 .興味がなくなる？今すぐ購読をキャンセルしてください
iPhone 14 PRO を当てよう！

自分自身を取得しますあなたの
iPhone 14 PRO 14 PRO
そのためには、これ以上簡単なことはありません。私たちのコ
ンテストに参加してください

継続する！

当社の約束:

- 100% 無料
- データ保護の保証
- 検証済みの懸賞
- 顧客満足が当社の最優先事項
- 100% 安全な注文処理による完全なセキュリティ

*支払い確認次第で 24 時間対応
*利用規約を参照

　メールヘッダを確認．

　中国経由なのでRELAYCOUNTRY_CN=1.5になって，さらに信頼できないネットワークをリレーしているのでRELAYCOUNTRY_UNTRUSTED=1となりスコアに2.5が追加されたことで，SPAMメールとして処理されています．

　メールの送信元と名乗るメールアドレスのドメインを調査．

　誘導先のURLにあるFQDNを評価．

　誘導先のサイトににパラメータなしでアクセスしてみた．

　すごい．あのiPhone 14 Proが720円だなんて．さすがに小学生でも騙されないでしょう．．．

　転送先のサイトを評価．

　悪意のある発信元/マルネット (Malicious Sources/Malnets)．

引用：

マルウェアをホストまたは配信するサイト、または悪意のあるネットワーク (マルネット) やマルウェアエコシステムの一部として存在しているサイト。

　とりあえず，モデルや容量を最大で選んで続けてみた．

　名前住所などの個人情報の入力を催促される．もちろん出鱈目を入力．

　クレジットカード番号の入力になった．ここも出鱈目な情報を入力したら次のようなエラーが出た．

　カード決済でエラーが出たと．

　証明書を確認．

　ちょっとよくわかってないけれど，これはAWSで無料で発行される証明書を使っているということかな．Let's Encryptよりは強いのかな？

　そして決済のページの下の方をよく見ると，謎が解けてくる．

引用：

無料登録をするために、なぜクレジットカードの詳細を聞かれるのですか？確認用に必要です。アカウントを五日の試用期間内にキャンセルしなかった場合、自動的にプレミアムアカウントに移行され、月額USD 59.99円の費用が請求されます。クレジットカードへの請求名義はpcdefencepro.com +44-808-164-6566です。無料トライアルに登録すると、カードが有効かどうか、またお客様が承認済の正当なカード保持者であるかどうかを確認するために、ランダムな金額が1件またはそれ以上アカウント上で保留されることがあります。カード上での保留期間は数日間のみです。

　これはpc defence proという，キプロス共和国にあるgiatex limitedという会社のプロダクトの無料トライアルの申込画面でした．

　ここで先ほどWebPluseの評価で「マルウェアをホストまたは配信するサイト」と評価されている意図がわかりました．

　pc defence proというソフトウェアが正しい動作をするものかどうかは別として，Amazonが開催しているiPhoneが720円で買えそうなキャンペーンと偽装して，毎月55.99ドル（日本円で今日現在で8,830円）を課金させようとしたいうもの．pc defence proをマルウェアとして配信しているという位置づけですね．

　メーリングリストのメールサーバを調査．

$ dig 7shop.net mx @8.8.8.8🆑

; <<>> DiG 9.10.6 <<>> 7shop.net mx @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21268
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;7shop.net.			IN	MX

;; ANSWER SECTION:
7shop.net.		300	IN	MX	10 ns.7shop.net.🈁

;; Query time: 115 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Sep 12 17:01:24 JST 2023
;; MSG SIZE  rcvd: 57

$ dig ns.7shop.net A @8.8.8.8🆑

; <<>> DiG 9.10.6 <<>> ns.7shop.net A @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17541
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;ns.7shop.net.			IN	A

;; ANSWER SECTION:
ns.7shop.net.		300	IN	A	64.112.43.155🈁

;; Query time: 17 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Sep 12 17:01:39 JST 2023
;; MSG SIZE  rcvd: 57

$ whois 64.112.43.155🆑

ー略ー

Organization:   CloudCone, LLC (CL-1413)
RegDate:        2022-04-06
Updated:        2022-04-06
Ref:            https://rdap.arin.net/registry/ip/64.112.40.0


OrgName:        CloudCone, LLC
OrgId:          CL-1413
Address:        30 N Gould St.
Address:        Ste. 6329
City:           Sheridan
StateProv:      WY
PostalCode:     82801
Country:        US
RegDate:        2017-08-09
Updated:        2017-08-09
Comment:        www.cloudcone.com
Ref:            https://rdap.arin.net/registry/entity/CL-1413

ー略ー
$

ujpblogさんのブログを読む
トラックバック (0)
閲覧 (702)

ブログ - 幸運なお客様に選ばれておめでとうございます。iPhone 14に超低価格で勝つチャンスがあります というフィッシングメール

幸運なお客様に選ばれておめでとうございます。iPhone 14に超低価格で勝つチャンスがあります というフィッシングメール

トラックバック

ブログ - 幸運なお客様に選ばれておめでとうございます。iPhone 14に超低価格で勝つチャンスがあります　というフィッシングメール

幸運なお客様に選ばれておめでとうございます。iPhone 14に超低価格で勝つチャンスがあります　というフィッシングメール