ブログ - 【重要なお知らせ】未払いの電気料金についてご連絡させていただくものです。 という東京電力を騙るフィッシングメール
【重要なお知らせ】未払いの電気料金についてご連絡させていただくものです。 という東京電力を騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2024/3/21 20:12
東京電力エナジーパートナー株式会社を騙っているけど,本文中にメルカリへのリンクが埋め込まれている003_DragonとChina Unicomのいつものメール.
誘導先のWebサーバは,TEPCOとAmazonのフィッシングで使われていた形跡がある模様.
引用: 「文脈上別異に解すべき」ってなんだろうと思ったけど,メルカリで使われている文法なんだね.
別異・・・べつい.相違点
解す・・・納得
メールヘッダを確認.
tepco.co.jpを騙ってメールを送信できている点が気になるね.Authentication-Resultsも無いし.
MXレコードを確認してみる.
SPFは設定してあるけどDMARCはp=noneとなっている.
誘導先ドメインにアクセスするとこんな感じ.
whois情報を確認.
WebサーバのIPアドレスを調査.
該当IPアドレスに紐づいているドメインを調べる.
TEPCOとAmazonのフィッシングで使われていた形跡がある模様.
誘導先のWebサーバは,TEPCOとAmazonのフィッシングで使われていた形跡がある模様.
引用:
このメールは、未払いの電気料金についてご連絡させていただくものです。お手数ですが、以下の内容をご確認いただき、早急にお支払いいただけますようお願い申し上げます。
お支払い期限: 2024/3/21
お支払いが確認できておりませんので、お早めにお支払いください。
オンラインでのお支払い: 以下のボタンをクリックして、オンラインでお支払いください。
■ご利用確認はこちら
※更新の有効期限は、24時間です。
お支払い前に、添付の請求書をご確認いただき、お支払い金額が正確であることをご確認ください。
既にお支払いいただいた場合は、このお知らせを無視していただいて結構です。ご不明な点やご質問がある場合は、お気軽にお問い合わせください。お客様サポートチームがお手伝いいたします。
ご協力とご理解に感謝いたします。早期のお支払いをお待ちしております。
素晴らしい一日をお過ごしください。
引越し申込後の内容の照会・変更・取消
電気・ガスの使用開始・停止のお申込み後の確認(照会)・変更・取消は、チャットで承ります。
チャットご利用方法
1. 画面右下に表示されるチャットのアイコンの吹き出しより、「引越し申込後の確認・変更・取消」を選択する
※吹き出しが表示されない場合は、チャットのアイコンをクリックし、メッセージ入力欄に「引越し確認」「引越し取消」「引越し変更」等と入力。
2. 以降はガイドの案内に沿って、ご希望のお手続きを選択し、必要な情報を入力
※Webからのお申込みで、11桁の受付番号(お申込み完了メールに記載しているWeb受付番号)がご不明な場合は「わからない」を選択してください。
1. 定義
本利用規約において、以下の用語は、別途定義されている場合及び文脈上別異に解すべき場合を除き、以下の意味を有するものとします。
https[:]//careers.mercari.com/jp/
2. 適用
本条の定義は、別途定義されている場合及び文脈上別異に解すべき場合を除き、本利用規約のほか、プライバシーポリシー及びガイドにおいても、適用されるものとします。
https[:]//about.mercari.com/press/press-kit/mercari/
第 3 条 本規約への同意及び本規約の変更
1. 本規約への同意及び適用
本規約は、本サービスの利用に関する条件をユーザーと弊社との間で定めることを目的とし、ユーザーと弊社の間の本サービスの利用に関わる一切の関係に適用されます。ユーザーは、本規約に同意をしたうえで、本規約の定めに従って本サービスを利用するものとし、ユーザーは、本サービスを利用することにより本規約に同意をしたものとみなされます。
https[:]//help.jp.mercari.com/?_gl=1
東京電力エナジーパートナー株式会社
24時間経過後は、再度お手続きが必要となりますので、ご注意ください。
別異・・・べつい.相違点
解す・・・納得
メールヘッダを確認.
tepco.co.jpを騙ってメールを送信できている点が気になるね.Authentication-Resultsも無いし.
MXレコードを確認してみる.
$ dig txt tepco.co.jp🆑
; <<>> DiG 9.10.6 <<>> txt tepco.co.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16375
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;tepco.co.jp. IN TXT
;; ANSWER SECTION:
tepco.co.jp. 17162 IN TXT "MS=ms50885506"
tepco.co.jp. 17162 IN TXT "adobe-idp-site-verification=5e66f1deeb83116d082357d7ce29f86a420ada2abe38aa23d7a675d7f0e030e3"
tepco.co.jp. 17162 IN TXT "v=spf1 +ip4:210.250.7.6 +ip4:210.250.7.5 +ip4:111.87.71.128/27
+ip4:111.87.68.128/27 +ip4:111.87.71.180 +ip4:111.87.71.181 +ip4:210.188.172.36 +ip4:210.188.172.37
+ip4:202.32.255.39 +ip4:210.128.5.118 +ip4:50.31.32.6 +ip4:54.95.232.240 "
"+include:tepco.spf.cuenote.jp +include:webcas.net +include:_spf.salesforce.com ~all"
tepco.co.jp. 17162 IN TXT "google-site-verification=eUWfyuZjRT7A_MJvUHT6FImWiFRGFXe5pt6F4NYrQ5Q"
tepco.co.jp. 17162 IN TXT "apple-domain-verification=Frmlutb7yi8jt2cy"
tepco.co.jp. 17162 IN TXT "cisco-ci-domain-verification=3827c0445bdab6f8acb03440f9e60451ffb4bf72830b7cb7f509d0b833f04604"
tepco.co.jp. 17162 IN TXT "notion_verify_PVn8nERneapyaMX3VVmTGJKi6oK6dHfjn8YLE3zK3tNjwW6UioyqhMoH0TFH321LJRiorr"
tepco.co.jp. 17162 IN TXT "asv=a1d76920127040ea91f5ba3bd3ddb6f3"
tepco.co.jp. 17162 IN TXT "MS=ms20630148"
;; Query time: 12 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Mar 21 20:09:52 JST 2024
;; MSG SIZE rcvd: 918
$ dig txt _dmarc.tepco.co.jp🆑
; <<>> DiG 9.10.6 <<>> txt _dmarc.tepco.co.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9455
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;_dmarc.tepco.co.jp. IN TXT
;; ANSWER SECTION:
_dmarc.tepco.co.jp. 16977 IN TXT "v=DMARC1; p=none; rua=mailto:kpf-support@ml.tepco.co.jp; sp=none"
;; Query time: 12 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Mar 21 21:11:15 JST 2024
;; MSG SIZE rcvd: 124
$
誘導先ドメインにアクセスするとこんな感じ.
whois情報を確認.
$ whois bvtfxxg.cn🆑
Domain Name: bvtfxxg.cn
ROID: 20230921s10001s54529824-cn
Domain Status: ok
Registrant: 陆惠普
Registrant Contact Email: 784555675@qq.com
Sponsoring Registrar: 阿里云计算有限公司(万网)
Name Server: dns11.hichina.com
Name Server: dns12.hichina.com
Registration Time: 2023-09-21 19:42:22
Expiration Time: 2024-09-21 19:42:22
DNSSEC: unsigned
$$ dig www.bvtfxxg.cn🆑
; <<>> DiG 9.10.6 <<>> www.bvtfxxg.cn
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61023
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.bvtfxxg.cn. IN A
;; ANSWER SECTION:
www.bvtfxxg.cn. 600 IN A 168.76.121.114
;; Query time: 97 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Mar 21 21:17:00 JST 2024
;; MSG SIZE rcvd: 59
$
TEPCOとAmazonのフィッシングで使われていた形跡がある模様.
