ブログ - ※くらしTEPCO web※よりご利用料金のご請求です【9月30日重要なお知らせ】(自動配信メール) というフィッシングメール
※くらしTEPCO web※よりご利用料金のご請求です【9月30日重要なお知らせ】(自動配信メール) というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2023/10/1 17:52
うちは電気代はTEPCOに払ってねンだわ.東京電力について何か意見があるわけじゃなく,電力自由化で東京ガスに変更すると安くなるって言われたから変えただけだ.そういえば,昔,東京ガスのガス管作っていた会社の子会社に勤めてたという縁もあるし.(こじつけ)
そして来たメールはこんな感じ.
引用:
テキストにすると何か変なものが隠れてる.
本文を選択すると,隠し文字?がでてくるなぁ.
それにしても要求している金額に小数点があるところや,「リンクエント」という言葉が特徴的.
誘導先のサイトにアクセスしてみる.
まだテイクダウンされていませんでした.
評価サイトのWebPluseではこんな感じ.
よくみるとテクペオってなってるな...
まずは出鱈目なメアドとパスワードでログイン.
出鱈目なIDなのに,未払いがあるという警告.
支払いはVプリカのみ.
ページのフッターをよくみるとソフトバンクになっている.こういう手抜き?バグ?も使い回しで良くあるパターン.
最後にメールヘッダを確認.
DragonやspfもsoftfailだしFoxmail,タイムゾーンも中国なのでいつもの人たちでしょう.
SpamAssasinでは,MAY_BE_FORGEDというスコアがついています.「多分偽造されている」の意味.
これは接続してきたメールクライアントのIPアドレスを逆引きし,ホスト名のIPアドレスを検索して,見つからない場合はこのスコアがつく模様.
試しに逆引きしてみる.
FQDNも記載されているので,そのアドレスで正引きしてみる.
localhostが返ってた.
そして来たメールはこんな感じ.
引用:
■□■ TEPCOよりご利用料金のご請求です。 ■□■
下記内容をご確認の上、至急お支払いください。 万一、支払期日を過ぎると、 wruvfrfkmxbbhcc
サービスのご供給を【停止】致します。 dv1b4ipn8
▼ 支払いの詳細リンクエント
<未払い金額: 19,811.32 円 (税込)> at71i4fj
※ 本メールは、TEPCO にメールアドレスを登録いただいた方へ配信しております。 r9pmn7nv
以上、ご不明な点に関しましては、お気軽にお問い合わせください。 jwf4s5vr
テキストにすると何か変なものが隠れてる.
本文を選択すると,隠し文字?がでてくるなぁ.
それにしても要求している金額に小数点があるところや,「リンクエント」という言葉が特徴的.
誘導先のサイトにアクセスしてみる.
まだテイクダウンされていませんでした.
評価サイトのWebPluseではこんな感じ.
よくみるとテクペオってなってるな...
まずは出鱈目なメアドとパスワードでログイン.
出鱈目なIDなのに,未払いがあるという警告.
支払いはVプリカのみ.
ページのフッターをよくみるとソフトバンクになっている.こういう手抜き?バグ?も使い回しで良くあるパターン.
最後にメールヘッダを確認.
DragonやspfもsoftfailだしFoxmail,タイムゾーンも中国なのでいつもの人たちでしょう.
SpamAssasinでは,MAY_BE_FORGEDというスコアがついています.「多分偽造されている」の意味.
これは接続してきたメールクライアントのIPアドレスを逆引きし,ホスト名のIPアドレスを検索して,見つからない場合はこのスコアがつく模様.
試しに逆引きしてみる.
$ dig -x 69.12.88.177 @1.1.1.1🆑
; <<>> DiG 9.10.6 <<>> -x 69.12.88.177 @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15183
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;177.88.12.69.in-addr.arpa. IN PTR
;; ANSWER SECTION:
177.88.12.69.in-addr.arpa. 86400 IN PTR 69.12.88.177.static.quadranet.com.
;; Query time: 282 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Sun Oct 01 17:45:15 JST 2023
;; MSG SIZE rcvd: 101
$FQDNも記載されているので,そのアドレスで正引きしてみる.
$ dig 69.12.88.177.static.quadranet.com @1.1.1.1🆑
; <<>> DiG 9.10.6 <<>> 69.12.88.177.static.quadranet.com @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19602
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;69.12.88.177.static.quadranet.com. IN A
;; ANSWER SECTION:
69.12.88.177.static.quadranet.com. 1 IN A 127.0.0.1
;; Query time: 16 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Sun Oct 01 17:46:23 JST 2023
;; MSG SIZE rcvd: 78
$