UJP - スパム・フィッシングカテゴリのエントリ

I hope this helps.

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ スパム・フィッシング の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - スパム・フィッシングカテゴリのエントリ

【au PAY】ごサービス通知

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2022/1/18 12:36
 メアドと日本語フルネームを使っているので,ピーティックスで漏洩した情報が悪用されているのだけれど,研究課題としては面白いのかもしれない...
 今回は評価サイトを使った検証と,OWASP ZAPを使った評価結果を確認してみた.

 今回のメールはこの様な感じ.


 Microsoft Edgeで該当フィッシングサイトにアクセスしてみる.


 何もブロックされずにアクセスできたので,まずはフィッシング協議会に通報.
 そして評価サイトでチェック.


 VTでは1月13日に登録済み.


 Sucuriでもブラックリストに入っている.
 

 WebPluseでもフィッシング. なんでこれでMicrosoft EdgeのSmartScreenでブロックされてないのだろう・・・
 ZAPを使って信頼性をチェック.



引用:
A cookie has been set without the HttpOnly flag, which means that the cookie can be accessed by JavaScript. If a malicious script can be run on this page then the cookie will be accessible and can be transmitted to another site. If this is a session cookie then session hijacking may be possible.

HttpOnlyフラグが設定されていないCookieは、JavaScriptでアクセスできることを意味します。このページで悪意のあるスクリプトが実行された場合、クッキーにアクセスでき、他のサイトに転送することができます。これがセッション・クッキーである場合、セッション・ハイジャックの可能性があります。



引用:
Whenever a cookie contains sensitive information or is a session token, then it should always be passed using an encrypted channel. Ensure that the secure flag is set for cookies containing such sensitive information.

クッキーに機密情報が含まれている場合、またはセッション・トークンが含まれている場合は、常に暗号化されたチャネルを使用して渡される必要があります。このような機密情報を含むクッキーには、必ずセキュアフラグが設定されていることを確認してください。



引用:
A cookie has been set without the SameSite attribute, which means that the cookie can be sent as a result of a 'cross-site' request.
The SameSite attribute is an effective counter measure to cross-site request forgery, cross-site script inclusion, and timing attacks.

クッキーはSameSite属性なしで設定されており、「クロスサイト」リクエストの結果としてクッキーを送信できることを意味します。
SameSite属性は、クロスサイト・リクエスト・フォージェリ、クロスサイト・スクリプト・インクルージョン、およびタイミング攻撃への有効な対策となります。
 脆弱性があるということは,これを使ってロックダウンできるってことかな?そこまでのことはしないか.
 本文にはURLだけで,タイトルにバイアグラが記載されている,迷惑メールとしては古典的な違法?薬物販売サイトへの誘導の迷惑メール.


 興味深くURLにアクセスすると販売サイトにアクセス.今回も転送系.


 ある意味,ちゃんとした?感じのショッピングサイトの様に見えるけれど,サイバーセキュリティ的にサイトを評価すると・・・


 フィッシングサイト!


 バイアグラ自体は違法薬物というわけでもないが,日本では医師の診断と処方箋が必要だけれど,そういうものをアメリカの会社のSymantecの指標ではカテゴライズできない模様.薬物としては,ずばりマリファナだけが指定がありますね.

 それで今回知ったのだけれど,バイアグラってファイザーの商品名で,薬としてはシルデナフィルというそうで,ファイザーは製薬会社は売上で世界2位なんですね...
 今日はこのメールがたくさん来る.たくさん来るというより,たくさんのメアドに対してばら撒かされている.

引用:
それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
私の正確なスキルを必要とする複雑なソフトウェア。
このエクスプロイトは、特別に作成された一意のコードを使用してチェーンで機能し、このようなタイプの攻撃は検出されません。
Webサイトにアクセスしただけで感染してしまいましたが、残念なことに、私にとっては非常に容易いことです。
 文書の始まりが違和感があるけれど,これそのままDeepLで翻訳するとこんな感じ.

引用:
That's what happened. Using a zero-click vulnerability and special code, I hacked your device through a website.
Complex software that requires my exact skills.
This exploit works in a chain using a specially created unique code and this type of attack is undetectable.
I got infected just by accessing the web site, unfortunately, it is very easy for me.

Translated with www.DeepL.com/Translator (free version)

 このBTCへの流れは興味あるけれど,未だに送金しているの人がいるのだろうか?

154NAJRNKKg7s8fSQ95VeJUSw5WYv2Y2SM
 こんなメールが.



引用:
Dated [13 Jan. 2022],

I am the Group Chief Financial Officer and asset management at Emirates NBD. I have enclosed a fixed deposit account of Oracle consulting LTD with my Bank. And other certificates which indicate the
appointment as Executor.

The purpose of this letter is to determine the nature of the above-referred account, whether the net proceeds can be liquidated and payable and what the date of death balance is. All attempts to trace his next of kin were fruitless, My position here at my office requires me to investigate and provide the Next of Kin or
Business Partner.

Please respond in writing as I will provide his documentation for the inheritance funds return. You may respond by telephone or in writing regarding the nature of the account and the named beneficiaries.

Email: patricksullivan[@]emiratenbd[.]cc

Direct line: +[447392702224]
 DeepLを使って翻訳してみた.

引用:
私はEmirates NBDのグループ最高財務責任者兼アセットマネジメントです。 私の銀行にあるOracle consulting LTDの定期預金口座を同封しました。また、遺言執行者に就任したことを示すその他の証明書も同封します。

この手紙の目的は、上記の口座の性質、純益を清算して支払うことができるかどうか、死亡日の残高がどうなっているかを確認することです。

近親者を探したが見つからなかったので、私の事務所で調査し、近親者またはビジネスパートナーを提供する必要がある。

相続財産申告のための書類を提出しますので、書面でご回答ください。ご返答は 口座の内容および受取人の指定については、電話または書面にてご回答ください。
 Emirates NBDとはドバイ政府保有の銀行.
 オラクルコンサルティングの人が死んだので遺産相続の話らしい.ちなみに添付ファイルはついてなかった.


 emiratenbd[.]cc というドメインについて調べてみるとこんな感じ.

 namecheapという業者のWebサイトをオープンしたばかりの模様.
 whoisでも確認.

# ccwhois.verisign-grs.com

   Domain Name: EMIRATENBD.CC
   Registry Domain ID: 169330816_DOMAIN_CC-VRSN
   Registrar WHOIS Server: whois.namecheap.com
   Registrar URL: http://www.namecheap.com
   Updated Date: 2022-01-09T09:32:56Z
   Creation Date: 2022-01-09T09:32:43Z🈁
   Registry Expiry Date: 2023-01-09T09:32:43Z
   Registrar: NameCheap, Inc.
   Registrar IANA ID: 1068
   Registrar Abuse Contact Email: abuse@namecheap.com
   Registrar Abuse Contact Phone: +1.6613102107
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: DNS1.NAMECHEAPHOSTING.COM
   Name Server: DNS2.NAMECHEAPHOSTING.COM
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of WHOIS database: 2022-01-12T23:09:34Z <<<
 取得後,間もない.
 WebPulseで確認.



 カテゴリがPlaceholdersとなっている.Placeholderとは,「とりあえず準備した場所」という意味.
 VTでも確認.


 1つだけSPAMとして判定されている模様.
 今後,評価が増えてくるのかなぁ.

 そして久しぶりのメールヘッダの分析.


 この迷惑メールの着弾はサポート用に暗黙的に用意しているメアドなので,流出メアドでは無いことが確認.あとは,送信元はエックスサーバー株式会社のメールサーバの模様.このIPアドレスなどは評価サイトではクリーン.ホスティング会社で用意しているサーバのアカウントでも乗っ取られて送信されたのかなぁ.

追記2022/01/14
 8時間ほど経過した後確認してみたら,WebPulseはSpam判定されてました.VTは変化なく.

 アマゾンを騙るフィッシングメールとしては古典的?のようだけれど,ピーティックスで漏洩したアカウント宛に次のようなメールが.


 宛名の差し込みに失敗しているし,2021年表記だし.


 アクセスしてみると既にロックアウトされていますが,ファビコンだけ残っています・・・


 フィッシングカテゴリ済み.メール送信がされた頃には落とされているということは,私がピーティックスで漏洩したメアドは,配信リストの下の方に入っているのかなw
 こんな記事が.

メルカリの売上金13万円を何の説明もなく没収されかけた件
https://japanese.engadget.com/mercari-merpay-083556554.html?guccounter=1

 背景としてはフィッシング詐欺や不正利用が急増してアカウントロックなどのようだけれど,確かにメルカリを騙るフィッシングメールはうちにも多く届く.

 ちょっと2021年に届いたメルカリを騙る迷惑メールを数えてみた.


 317件! ちなみにうちに届いている迷惑メールは2021年で5409件なので6%くらいの模様.

 100件越えのメールを数えてみる.

908件 Amazon
360件 三井住友
317件 メルカリ
315件 楽天市場・楽天カード
167件 イオンカード
167件 MasterCard
146件 JCB
125件 エポスカード
 アマゾンは想定内?だけれど,三井住友はVISAカードということでグローバルなクレジットカードを想定するものが多いかな.
 各サービスの利用者像と,ユーザ数とばらまき具合を考えたら,ユーザサポートの業務負荷も大変だろうと.

 そのほかで件数が多かったものを.

65件 エムアイカード
50件 TS CUBIC
49件 VISA
35件 ヨドバシカメラ
28件 PayPay
19件 ETCサービス
15件 ユーシーカード
4件 セゾンカード
3件 AMEX
 うちの場合,アメックスが少ないな.
 同じ内容のフィッシングメールが3通来たので,中身を見てみた.


 まずこれが本文が画像なのでスパム判定しづらい.
 スパムアサシンのスコアはこの程度.

X-Spam-Status: No, 
score=4.216 tagged_above=2 required=6 
tests=[BODY_URI_ONLY=0.099, 
HTML_IMAGE_ONLY_04=0.342, 
HTML_MESSAGE=0.001, 
HTML_SHORT_LINK_IMG_1=0.139, 
KHOP_HELO_FCRDNS=0.399, 
MPART_ALT_DIFF=0.724, 
PHP_ORIG_SCRIPT=2.499, 
SPF_HELO_FAIL=0.001, 
SPF_NONE=0.001, 
T_REMOTE_IMAGE=0.01, 
URIBL_BLOCKED=0.001]

 リンク先のURLはまだMicrosoft Edgeでロックアウトされてなかった.


 転送されている. 

 VirusTotalで転送元,転送先両方評価してもまだ?悪性診断結果はない模様.




 去年の年末より,この転送系で評価サイトを逃れるパターンが多い模様.
 フィッシングメールが来ても,メール到着後の数時間後ならMicrosoft Edgeを使っていればMicrosoft Defender SmartScreen機能でブロックされる.

 ・・・ことが多いのだけれど,年末年始だからか,対応が遅いっぽい.

  • フィッシングサイトの通報が遅い場合(第三者機関の情報入手)
  • ブラックリストへの登録が遅い場合(Microsoftがお休み)
  • 認知していない.

     どれだかは不明.

     まずはこんなメール.


     よくあるやつ.
     Microsoft Edgeでアクセスしてみる.


     赤い画面もでずすんなり.
     ちなみにVirusTotalでチェック.


     それなりに赤評価.


     ちょうど良いので,2022/01/01 12:03am(JST)に通報してみた.

    報告 - フィッシング対策協議会
    https://www.antiphishing.jp/registration.html

    追記2022/01/02 20:10(JST)
     先ほど確認したら,赤い画面になっていました.

    ...続きを読む

  •  メルカリを騙るフィッシングメールが来た.


     せっかくなので,フィッシングサイトは安全なのか?という視点でOWASP ZAPを使って脆弱性検査をしてみた.


     するとやはり,脆弱性発見.今回はこの2件.


  • OWASP_2017_A09
    https://owasp.org/www-project-top-ten/2017/A9_2017-Using_Components_with_Known_Vulnerabilities.html

  • OWASP_2021_A06
    https://owasp.org/Top10/A06_2021-Vulnerable_and_Outdated_Components/

     ずいぶん古い脆弱性と新しいものを内包している模様.
  •  大量に「最も魅力的で美人なあなたに。」のセクストーション系の迷惑メールが来ているのだけれど,どこかしらで漏れた実在っぽいメールアドレスがFromに使われているので,DMARCレポートがくるのでは?と想像していたけれど,やっぱり来ました.


    <?xml version="1.0" encoding="UTF-8" ?>
    <feedback>
      <report_metadata>
        <org_name>google.com</org_name>
        <email>noreply-dmarc-support@google[.]com</email>
        <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
        <report_id>14599853096528100980</report_id>
        <date_range>
          <begin>1640563200</begin>
          <end>1640649599</end>
        </date_range>
      </report_metadata>
      <policy_published>
        <domain>ujp.jp</domain>
        <adkim>r</adkim>
        <aspf>r</aspf>
        <p>none</p>🈁
        <sp>none</sp>
        <pct>100</pct>
      </policy_published>
      <record>
        <row>
          <source_ip>27.89.248[.241</source_ip>
          <count>1</count>
          <policy_evaluated>
            <disposition>none</disposition>
            <dkim>fail</dkim>
            <spf>fail</spf>
          </policy_evaluated>
        </row>
        <identifiers>
          <header_from>ujp.jp</header_from>
        </identifiers>
        <auth_results>
          <dkim>
            <domain>graduallyfraught[.com</domain>
            <result>fail</result>
            <selector>selector</selector>
          </dkim>
          <spf>
            <domain>graduallyfraught[.com</domain>
            <result>softfail</result>
          </spf>
        </auth_results>
      </record>
    </feedback>
    
     pの値はrejectにしたのに,まだnoneの模様.DNS反映に時間がかかるから2,3日は仕方ないかな.

     記録されているIPアドレスは,KDDIのもので,graduallyfraught[.com<というドメインが割り当てられているIPアドレスはsonic-rampage.co[.jpというネットワーク上にあり,株式会社SORAという企業研修の会社の模様.八反という人の名前も出てくるが,Webサーバは止まっているが何かが動いているのか.乗っ取られているのか?
     47件届いていたスパムメールを開封してみた.

     まず,ビットコインの振込先が2つある.

    19iaNyTBn6mFUx5V6px8CRptnxzoeyyotH
    1NhCW6qW3D6bCv8i2Kt2NmptfXkV1f2J7a

     そして送信時に使われているメアドは,';--have i been pwned?でピックアップで何件か確認すると漏洩が登録されているものではない.



     何通かトヨタ自動車のメアドがあったので,DMARCを確認してみた.

    ...続きを読む

     本年を締め括る?大量のセクストーションスパム.うちには現在74件ほど届いています.


     しかしちょっとこれまでと違う内容.

    引用:
    こんにちは!

    このレターは重要情報を含みます。
    と言うのも、あなたが参加しているとても性的な動画を入手しました。

    その動画は、あなたのとても性的、または刺激的なトイレでの様子、排尿をとらえています。
    撮影されたトイレはあなたのご自宅ではなく、公衆便所でした。
     これまでは基本的にパソコンをハッキングしてカメラ機能で勝手に録画したシナリオだったけれど今回は公衆便所での姿をビデオに収めたようです.そしてじゃ,どうやって私と紐づけるのか?

    引用:
    さらに、カメラはBluetooth機器と連動していて、一番近いデバイスをスキャンできるようになっています(例えば、トイレ内のあなたのスマートフォンですね)。
    Bluetoothを利用した特別なハッキング用のソフトウェアのお陰で、あなたの電話番号を特定することも、ネット上に既に流出している個人情報と合わせることも簡単です。
    そのようにして、あなたの連絡先一覧を見つけました。そしてあなたのご友人、知人、ご家族の電話番号全てを入手しました。
     トイレに設置したカメラについているBluetooth機能とハッキングツールが,私が持っているスマホをハックして電話番号を盗んだ想定.

     技術的にそれを実装しようとすると,トイレにラズパイでも仕込んで攻撃をするとかが考えられるけれど,機器の電源問題と,トイレなんて所要時間3分程度のことだし,短時間でそれを成し遂げるのは困難か.

     そして暴露されたくなければ20万円分をビットコインで支払えとあるのだけれど,その時に今回始めての特徴が.

    引用:
    ビットコインの取引を完了するときは、ID「76461」を指定してください。この情報は、取引の説明欄(コメント)に必ず記載してください。^
     当然たくさんきたメール全てのきのIDは同じIDでした.

     そしてここが問題.
    引用:
    私のメールに返信する必要はありません!適当な個人情報の長い一覧から拝借しただけで、送信者のアドレスは私のものではありません!
     送信者のFromメールアドレスは実在していそうなメアドが使われています.これはなりすましされているアカウントで,フィッシングメール自体はbccで送信したのでしょう.

     ちょうど,機能,送信ドメイン認証を設定したのだけれど,うちからピーティックスで漏洩したメールアドレスが使われてなければいいけど...
     ほぼ1年ぶりにDMARCレポートが送られてきたので,すっかり忘れているので,レポートの中身を解読してみる.



     まず,送られてきたXML形式のレポートはこれ.

    <?xml version="1.0" encoding="UTF-8" ?>
    <feedback>
      <report_metadata>
        <org_name>google.com</org_name>
        <email>noreply-dmarc-support@google[.com</email>
        <extra_contact_info>https://support.google[.com/a/answer/2466580</extra_contact_info>
        <report_id>6674644931422901562</report_id>
        <date_range>
          <begin>1640476800</begin>
          <end>1640563199</end>
        </date_range>
      </report_metadata>
      <policy_published>
        <domain>ujp.jp</domain>
        <adkim>r</adkim>
        <aspf>r</aspf>
        <p>none</p>
        <sp>none</sp>
        <pct>100</pct>
      </policy_published>
      <record>
        <row>
          <source_ip>27.89.248[.243</source_ip>
          <count>1</count>
          <policy_evaluated>
            <disposition>none</disposition>
            <dkim>fail</dkim>
            <spf>fail</spf>
          </policy_evaluated>
        </row>
        <identifiers>
          <header_from>ujp「.jp</header_from>
        </identifiers>
        <auth_results>
          <dkim>
            <domain>keyboardcoronation[.com</domain>
            <result>fail</result>
            <selector>selector</selector>
          </dkim>
          <spf>
            <domain>keyboardcoronation[.com</domain>
            <result>softfail</result>
          </spf>
        </auth_results>
      </record>
    </feedback>
    
     ブロックごとに解読.

    ...続きを読む

     スパム対応にSpamAssassinを導入しているけれど,キヤノンからのメールが初めてスパム判定された.
     よってヘッダを確認.

     SpamAssassinが件名にJUNK MAILと付与している.X-Spam-Score: 9.124になっているのでスパム判定された模様.
     消化器のモリタの関係のドメインが使われているようになっているが,過去にデジアナコミュニケーションズという会社が持っていたドメインからメール配信されている模様.

     ヘッダの中にあるスコアを確認.
    X-Spam-Status: Yes, score=9.124
    tagged_above=2
    required=6
    tests=[CHARSET_FARAWAY_HEADER=3.2, 🈁
    GAPPY_LOW_CONTRAST=2.497,🈁
    HEADER_FROM_DIFFERENT_DOMAINS=0.249,
    HTML_FONT_LOW_CONTRAST=0.001,
    HTML_MESSAGE=0.001,
    MIME_CHARSET_FARAWAY=2.45,🈁
    MPART_ALT_DIFF=0.724,
    RCVD_IN_DNSWL_BLOCKED=0.001,
    SPF_HELO_NONE=0.001,
    SPF_PASS=-0.001,
    URIBL_BLOCKED=0.001]
    autolearn=no
    
     GAPPY_LOW_CONTRASTというのは,Gappy subject + hidden text:ギャップのある被写体+隠し文字ということで,隙間のある件名と,隠し文字が含まれているという点.
     件名を見ると,確かに半角スペースが多いのと,何らかのコードが流行っている.
    引用:
    ***JUNK MAIL*** 【アウトレット】台数限定アウトレットセール開催中! [COS_211221_2]

     そして合計で6点近いスコアを出しているのが,CHARSET_FARAWAY_HEADERとMIME_CHARSET_FARAWAYというキャラクターセットに関するもの.

    CHARSET_FARAWAY_HEADER
    A foreign language charset used in headers

    MIME_CHARSET_FARAWAY
    MIME character set indicates foreign language
     ヘッダや本文に外国語の文字セットが使われているとのこと.

     本文を見てみる.

     iso-2020-jpとShift_JISは解るが,3DSHIFT-JISというのが含まれている.これがスコアを上げてしまったのかと思われる.
     シャープマスク抽選販売事務局からのメールがスパム判定されているので,調べてみた.

     まずはスパム判定されたメールのヘッダを確認.


     このメールはHi-Ho経由で受信しているメールで,件名に[meiwaku]がついている.ヘッダの一番下にあるX-Klms-Antispam-RateとX-Klms-Antispam-Statusによって,スパム判定をしているのはカスペルスキーのエンジンの模様.
     このヘッダに登場するメールサーバを検証サイトで調べても,不審なものは発見されなかった.

     それでもっとよくヘッダをみると,見慣れないX-Ms-Exchange-Organization-Sclというヘッダが.

     調べるとこんな感じ.

    スパム対策スタンプ
    https://docs.microsoft.com/ja-jp/exchange/antispam-and-antimalware/antispam-protection/antispam-stamps?view=exchserver-2019

    引用:
    SCL (Spam Confidence Level) スタンプ

    SCL スタンプには、内容に基づいたメッセージの評価レベルが示されます。コンテンツ フィルター エージェントは、Microsoft SmartScreen テクノロジを使用してメッセージのコンテンツを評価し、各メッセージに SCL レベルを割り当てます。次の表に SCL 値の説明を示します。

    0 から 9
     0 は、メッセージがスパムである可能性が非常に低いことを示します。
     9 は、メッセージがスパムである可能性が非常に高いことを示します。
    -1 メッセージはスパム対策スキャンをバイパスしました (メッセージが内部の送信者からだった場合など)。

     コンテンツの中身が「メッセージがスパムである可能性が非常に高い」とMicrosoftのゲートウェイが判断している模様.
    ということでコンテンツ=本文を見てみると,HTMLじゃなくて普通のテキストメールなのだけれど...


     この見慣れないFQDNくらいかな.
     こんなのが6年前からあったのね.

    新ドメイン「jp.sharp」の運用開始について - 2019年3月25日
    https://corporate.jp.sharp/info/notices/190325-1.html

     これくらいかなぁ.
     メルカリを使っていないカミさんに来たフィッシングメール.


     古典的な感じだけれど,このフィッシング先にアクセスしてみる.アクセスする際に,念のためユニークキーは適当な文字列に置き換え.


     もう2日経過しているのにMicrosoft Edgeでブロックされていません.Google ChromeもSafariも同じ.これはフィッシングサイト登録業務が,年末年始の長期休暇に入っている可能性が・・・

     それよりも最近はフィッシングサイトも転送系が多いね.今回もcwtmvvw.cnからmeqsru.cnに転送されています.

    Emtetっぽいメール

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2021/12/26 19:11
     当方を医療機関と間違って,癒しの音楽CD紹介・販売メルマガを送ってくる業者があって,ずっと無視していたのだけれどいつまで経っても(数年単位)停止されないので,本文に案内があった通り件名を「配信停止」としてメールで連絡しました.
     その後,メルマガは来なくなったのだけれど,代わりに次のようなメールが.


     その本文を引用したメールなので,その業者がメルマガ(たぶんメーラを使ったbcc送信)のPCがマルウェアに感染して,受信したメールが漏洩したと想定.

     返信メールは英語だしリンク先がZIPなので,これは面白いサンプルが取れる!とおもって急いでアクセスしたのですが...

    ...続きを読む

     タイトル通りなのだけれど.


     アカウントがロックされた的な案内が多い中,商品配送からのフィッシングはあまりみたことない気がする.そしてやっぱり日本語がおかしい.


     Microsoft Edgeだと既にフィッシングサイトとして認知されているようです.が,無理矢理アクセスしてみます.

    ...続きを読む

     アメックスを騙るフィッシングメールが来たのでMicrosoft Edgeでアクセスしたらまだテイクダウンされてない模様.先ほど,フィッシング協議会に通報してみた.

    ...続きを読む

     1週間ほど前になるけれど,ピーティックスで漏洩したメールアドレスに来たフィッシングメール.

     出来立てほやほやだったり転送していると検証サイトでも判断が鈍るようです.


     楽天を騙りながらアマゾンの偽メアドを使っているあたり精度が悪いw

    ...続きを読む

    申し訳ありませんが

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2021/11/30 13:47
     今日たくさん来ているセクストーション・スパム.
     こんな文書で始まります.

    引用:
    それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
    私の正確なスキルを必要とする複雑なソフトウェア。
    このエクスプロイトは、特別に作成された一意のコードを使用してチェーンで機能し、このようなタイプの攻撃は検出されません。
     「チェーンで機能」とか「エクスプロイト」とか素で意味が解る人がいるのだろうか...

     被害は,このビットコインアドレスへの入金を追えば良いのかな.

    17QoiF3Vvb6VPnUJtSCdtXteUH9LvbXTBW

    KDDI料金未払いを騙るSMS

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2021/11/30 0:41
     カミさんのドコモ回線にKDDIからSMSが届いたというので調べてみた.

     duck.orgというダイナミックDNSサービスを使って,スイス・ブラジルに置いてあるサーバに転送されるようだけれど,何もない模様.既にテイクダウンされている?

    ...続きを読む

     facebookにログインしていたら,そごう・西武の閉店セールという広告が出た.


    今は消えているけれど,「本物ですか?」「本物です!」「安いから買いました」「これ詐欺じゃないの?」などのコメントがあったけれど,もうそれも消えていました.


     アカウントはまだ残っていて,最近ロゴマークを変更して仕込んだ模様w

     それにしても,2020年7月に西武百貨店から警告もでているのに,facebookもこういう広告を許してしまう模様.そうなると全ての広告が怪しい...

    ルイ・ヴィトン西武池袋店の名前を不正に利用した悪質なデジタル広告について 2020年7月8日(水) 西武池袋本店
    https://www.sogo-seibu.jp/ikebukuro/topics/page/lv-information.html
     UC CARDを騙るフィッシングメールが来た.珍しい物ではないけれど.



     いつもようにMicrosoft Edgeでアクセスしてみた.


     「このサイトにフィッシングの脅威が含まれていないことを報告」をクリックしてみた.


     無記名で連絡できるみたいだなぁ...

     そして安全でないサイトへの移動を続けるにしてみた.


     面白みはない模様.
     トヨタファイナンスのTS CUBIC CARDを騙るメール.そんなカードあるのか.トヨタ車ユーザはみんな持っているとかかな?

     もうメール送信元が既に怪しい.

    ...続きを読む

     SAISON CARDを騙るフィッシングメールがよく来るのだけれど,今回は面白い現象が.


     指定されたURLにアクセスするとこんな感じ.

    ...続きを読む

     某レジストラで使っているメールアドレスにフィッシングメールが来るのだけれど,いつもセゾンカード.


     
     メールが来たのが11月10日だったけれど,メールにあるURLにアクセスしてみる.

    ...続きを読む

     明治安田生命を騙るフィッシングメールが着ました.


     ドメインが「めいじやすだん」になっている.その前に記事の内容については「マガジンハウス」という出版社になっている.

     試しに「めいじやすだん」にアクセスするとコレ.

    ...続きを読む

     ここ2日くらいのセクストーション・スパムは「残念ながら凶報がございます。」の書き出しだ.
     どのような翻訳ソフトを使ったのかな.なんか,トレンドがあるよね.業者?が変わったなっていう.
     午前中に来た楽天を騙るフィッシングサイト.


     5時間後にMicrosoft EdgeでアクセスするとMicrosoft Defender Smart Screenによってブロックされている.


     アマゾン用に使っているドメインの使い回しかw

    ...続きを読む

     ほんと,よくくる.費用対効果があるんかな?長いメールは読んでくれないよ?!

    ハッカーから「AV鑑賞の様子を録画した」と脅迫メッセージが!どうすれば?
    https://diamond.jp/articles/-/281799

    スマートフォン問題

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2021/8/7 23:00
     職場にも到着していたようだけれど,うちにも何通か. 


     Peatixで漏洩したメアドに来ている.いい迷惑.ほんと,この迷惑への対価保証してほしい.

    高島屋免税店閉店

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2021/6/4 23:00
     facebookにへんな広告が.


     広告が入っていることは確かにあったようで,2020年10月末で高島屋にあった免税店が閉店している模様.そこから確かに半年くらい経っている.

    高島屋新宿店の大型免税店が10月末閉店 インバウンド激減で
    https://www.wwdjapan.com/articles/1135261

     でもまぁ,高島屋のロゴの横にある店名は何語か分からず読めないし,リンク先のFQDNもLVZTTGFLVとかいう如何にも詐欺サイトです感のあるものだけれど,この広告が表示される理由を確認すると,微妙.
     

     50歳以上の日本人にリーチ.facebook利用者は高齢化とも言われるから,ほぼ全員がターゲットかな?w

     高島屋も偽広告を認知していて,注意喚起もでているが.


     その注意喚起内で,実際に購入手続きしたような投稿もいくつか見受けられます.


     こういう場合で被害が出た場合,facebookは何か保証するものなのだろうか? たとえばGoogleで検索した後誘導された詐欺サイトで騙されて何か購入した場合,そんなのは保障されないから,facebook としては何も責任がないということになるかな.

     凶器となった包丁を売っていた店とか,家電が爆発して火事になった場合の購入店の責任とかに近いのか.
     過去に漏洩したもの,あるいはなにか適当に生成したメールアドレス向けに,ばらまき型脅迫メールが定期的に届くのだけれど,一昨日,5月26日はとてもたくさんメールが来た.


     何かどこかでキャンペーンなのか.

     いつもはこういうコレクションは「壺」にいれておいて,分析してみているのだけれど,この手口のものは,全く面白く無いので分析対象外.
     フォロー数が少ないけれど,こういうのは応援するためにフォローした方が良いのだろうか.でもアカウント取るのは面倒だし.

    Microsoft Phishing観察記録_202105
    https://note.com/serasora/n/n7917718cf7ae

    ANA VISAを語るメール

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2021/5/20 1:13
     タイトルは誤字ではなく.

     クレカが新しいものになるようで,その案内メールが来た.


     本文中に記載のあるURLが,リンクになっていて別ドメインになっているので,非常に紛らわしい.

     正規のメールが正規であるという証しは,Authentication-ResultsでSPF,DKIM,DMARCでの評価を見て確認済み.素人は,そんなことはしない.

     なぜ,この程度のテキストだけメールなのにHTMLメールで送ってくるのか...

     ちなみに,三井住友VISAプリペイドカードを騙るメール.


     URLの偽造なし.
    フィッシング報告数が過去最多 - 上位5ブランドで8割超
    https://www.security-next.com/125892

    引用:
    「Amazon」を装ったケースが全体の50.7%と過半数にのぼる。これに「楽天」「三菱UFJニコス」「三井住友カード」「JCB」を含めた上位5ブランドで、全体の81.2%を占めた。
     体感としても一致しているな.
     ちょっと前に流行ったEmotetのような風のフィッシングメールが.


     ZIPファイルが付いていたらいいんだけど,何も無い.


     日本海洋株式会社は存在する.そもそも海洋開発の会社から,個人が請求書を送ってもらえるわけがないw


     URLにアクセスすると,すぐ別のサイトに転送される.
     パラメータが無いFQDNだけにすると,転送されてない.

     色々な検証サイトで,評価してもらう.


     

     

     

     

     基本的には,すぐ転送されてしまうので,評価されてない.つまり,URLパラメータ付きだけ評価されている模様.メールアドレスが人間に届いたという確証を得たと思われる.orz

     ちなみに,メールヘッダをMXTOOLSで評価すると,直前のメールサーバが悪性評価されている.


     SymantecのSite Reviewに詳細な情報を記載して申告してみた.ただし,前回申告した内容にもまだ返事はない...
     面白みのないフィッシングサイト.























     最初のページに戻る.
     残念なお知らせメールも,使いされた手口だけれど,調べると少し悲しい事実も出てくる.
     メール送信者を騙られたサイトは,近年熱心に更新されてないようだ.
















     相変わらずメールが来る.



    引用:
    弊社のモニタリングにより。普段と違う不審なログインが見つかり。誰かがお客様のいつもお使いになった支払方法を変更しようとしていたそうです

    あなたのAmazοnのアカウント:peatixで漏洩したメアド

    ログイン日時:2021/2/7 2:15:44

    IPアドレス:36.240.179.207

    装備:Linux; Android 8.0.0

    場所:京都府 八幡市

    Amazon会員個人情報を確認する必要があります。今アカウントを確認できます。
     メールに気づいてから随分時間が経っていたので,Microsoft Edgeでブロックされるかと思ってアクセスしたら,警告なしにアクセスできた.



     結果的には,以前調査したアマゾンを騙る偽装サイトなのだけれど,土日だとマイクロソフトの中の人も休みなのかな.

    MyEtherWallet

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2021/1/26 11:27
     数週間前,仮想通貨が高騰しているという話題もあったけれど,その関連かな.


     スパムアサシンでもApple Mailでも迷惑メールとして判定されています.

     メールの内容は古典的な模様.

    引用:
    MyEtherWalletをご利用いた だきありがとうございますが、アカウント管理チームは 最近MyEtherWalletアカウントの異常な操作を 検出しました。
    アカウントを安全に保ち、盗難な どのリスクを防ぐため、アカウント管理チームによってアカウントが停止されています。次のアドレスでアカウントのブロックを解除することができます。
     送信先のIPアドレスは中国.


     現在は汚れたレポートはない模様.

    UDRP

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2021/1/14 0:27
     このドメイン,フィッシングサイトとか悪意のあるサイトに使われているのでテイクダウンさせたいなぁ〜と思った時にどうするか.

     UDRPで言いつけるみたい.当然,素人が言いつけたところで,すぐには動かないだろうけれど.

    UDRP(Uniform Domain Name Dispute Resolution Policy:統一ドメイン名紛争処理方針
    https://www.nic.ad.jp/ja/drp/udrp.html

     10年くらい前に関わったアパレルだと,新ブランドを作る際に「周辺ドメインは全部ゲット」をしていたな.その時は商標侵害が目的だったけれど,これも同じ.

     となると,騙られたサイトが申し入れをするのか,セキュリティ会社が申し入れをするのか,その両方か.あるいはサーバの運営会社の判断でテイクダウンするかとかかな.
     三井住友カードを騙るフィッシングメールを語る.
     朝一番に気づいたので,分析してみた.



    引用:
    いついつも三井住友カードをご利用いただきありがとうございます。

    いつも三井住友カードをご利用いただきありがとうございます。
    弊社では、お客様に安心してカードをご利用いただくことを目的に、
    第三者による不正使用を防止するモニタリングを行っています。
    当社の検出を経て、第三者が不正利用されてる恐れがあります。
     いつもいつも!

     至至急! というのでサイトにアクセス.


     ブラウザでブロックされてない模様.
     不適切なIDと雑多なパスワードでログインしてみる.


     ログインできたのでテスト用のカード番号に似た数字や期限切れの有効期限,存在しない2月31日の誕生日などを正確に入力.


     さらっと本物のページにリダイレクトされた.クレカの番号もチェックされなかったから,バリデーションも甘い.手抜き.


     メールヘッダを見ると,誘導先とは違うFQDNから送られている..cnなので中国ドメイン..cnドメインは今は中国でしか取得できないはず.


     VirusTotalでの評価はすでにフィッシングサイトと認識.


     urlscan.ioでもマリシャス評価.


     マリシャスなフィッシングサイトのIPアドレスは,アメリカにある.


     メールの送信元その1のIPアドレスは,中国.


     メールの送信元その2のIPアドレスも,中国.


     そして先ほどMicrosoft Edgeでアクセスすると,Microsoft Defender SmartScreenが警告してくれました.
     警告を無視すると,まだサイトにアクセスできるので,テイクダウンまでは進められてない模様.

     やっぱりこのタイムラグかなぁ.雨後の筍のように増殖するフィッシングサイトを見つけ続けるのは難しいから,「しらばく放置」だね.
     キッズオススメ設定にしてもメールが来る.
     そしてなぜかMyドコモのページで,指定受信設定の画面が出てこなくなった.

     仕方ないので,PCのメーラでホワイトリスト運用することにした.
     ピーティックスで漏洩したメールにフィッシングメールがくるシリーズ.




    引用:
    UCカ一ドアトユ一-ネット!ダイル外をこ~利用いただき、誠にありがとうざいます
     「ダイル外」とは? 他にも「※ぶこのメ一ルでは、」ってある.「ぶこのメール」とは?
     URLを叩いて確認してみる.


     ロボット排除のためのパズル認証がある風だが,表示されてない.
     本物のサイトにアクセス.


      本物のURLにアクセスしたことがある人は,パズル認証がないことに気づいているかどうか.

     でもパズル認証の運用方法も注意.パズル認証を出すとログインエラー率が高くなり問い合わせも増えるので,出すタイミングや出す場所とかは調整することが多い.偽物のサイトを作るなら,作りやすいものにすれば良いのに.
     このサイトは左側のログイン画面だけを悪意のあるサイトに作り変えて,右側の案内部分は本物のサイトを使っているという特徴がある.

     仕方ないので適当なクレジットカード番号を入力してログインすると,クレジット番号を入力する画面が表示.


     思いついた数値を入力.有効期限は2月31日を設定.暗証番号は,誰かの結婚記念日を.
     そして「次へ」ボタンを押すと・・・


     公式サイトに飛ばされました.確認ページとかもないので,非常に作りが悪い.
     年末年始も迷惑メールがくるオカンのドコモメール.役所からの年末年始の休日診療の連絡を受ける邪魔になるのでどうにか虐待したいが,指定受信を設定してもなぜかメールが来てしまう.


     届くべきメールが届かないようになるのを防ぐためにまず「受信拒否 弱」にしていたけれど,それで効果が出たものもあるだろうけれど,完全では無かった.
     卑猥なキーワードとかが入って誘導先URLが記載されているようなものを届かないようにしてくれることを期待.

      ということえ,今度は,「キッズオススメ」にしてみた.


     「携帯・PHS/パソコンなどのメール設定」で,mopera Uからのメールは拒否するようにしてみた.オカンの交友関係のなかでmopera Uを使っているとも思えず.


     これで減ってくれればいいけどなぁ.
     新しくメールサーバを立て,諸設定を終えたところ,Googleから本文が無いメールが送られて来た.
     まさにフィッシングメールによくあるやつ


     本文はなくて添付ファイルにZIPファイル.怖すぎる.

     そこで開いてみたら,XMLファイルがついていました.


     XMLにあるURLを確認するとこれ.

    DMARC を使用してなりすましとフィッシングを防止する
    https://support.google.com/a/answer/2466580

     「DMARC レポート大解剖」ということで,参考にしたのはこれ.

    どれくらい自社ドメインがなりすまされているか、ご存知ですか?
    https://eng-blog.iij.ad.jp/archives/3273

     report_metadataやpolicy_publishedで設定を確認できて,record/rowをじっくり見る,ということらしい.

    参考:DMARC レコードの追加
    https://support.google.com/a/answer/2466563?hl=ja
     オカンのドコモメールへの迷惑メールが止まらない件.


     老人向けに,ゆうちょ,JA,信金などを使っている模様.姑息にもスペースを入れてキーワードマッチしないように.
     誘導されたURLニアクアセスしてみる.


     Operaだとフィッシング渓谷でなかったな.すでに404になっている.


     URLを削ると,Oliveというサイトのページが出てきた.


     香港を拠点とする小規模なWebサービス業者の模様.現地の日本人向けサービスなのかな.プリペイドのポイント制なので,安くサイトを作るのに悪用されている模様.
     ピーティックスで漏洩したメアドに来るようになった迷惑メールを分析するシリーズ.
     TIKTOKの「いいね!」を押すアルバイトだそうだ.「いいね!」とかフォローワーを水増しするアルバイトも存在すると聞いているが,そういうのは「人力ではない」ので,情報弱者を狙ったフィッシングだと思われる.


     この迷惑メールはco.jpドメインから送信されたようになっている点.
     早速メールヘッダを確認.


    キヤノンマーケティングのCannonetホスティングサービスを利用している模様.内部的には,WebメーラとしてActive!Mailと,ウイルスチェックとしてESETを利用しているのか.
     そして,それらは問題なく通過.


     送信元ととしてco.jpを使われた企業は,「株式会社ぱるる」という福島県の事務用品販売会社の模様.

     宛先として使われているYahoo!メールのメアドをpwnedで調べる.


     漏洩しているアカウントだと判明.このメアドは乗っ取られているのだろうと推測される.


     なんどもあちらこちらから漏洩しているようだ.


     リンクにアクセスすると,LINEの友達追加用のQRコードが表示された.

     以下,推察のまとめ.

  • 株式会社ぱるるが利用しているキヤノンマーケティングが提供しているWebメールサービスを利用して,今回のフィッシングメールが送信された.
  • フィッシングメールの内容から,株式会社ぱるるの中の人が送信してとは思いづらいが,経緯は不明.
  • フィッシングメールの返信先は,なんどもパスワードが漏洩しているYahoo!メールのメールアドレス.

  • 広告スペース
    Google