ブログ - スパム・フィッシングカテゴリのエントリ
みずほ銀行を騙るフィッシングメールが来た.振り込み失敗,という本文は珍しいので調べてみた.
URLはスペル誤認,なんとフィッシングについての注意喚起も記載してある.
ヘッダ部分に日時を自動設定するためのタグが残っている模様.これは中国からのフィッシングメールに多い特徴だが,置き換え失敗している.
メールヘッダを確認.
URLはスペル誤認,なんとフィッシングについての注意喚起も記載してある.
ヘッダ部分に日時を自動設定するためのタグが残っている模様.これは中国からのフィッシングメールに多い特徴だが,置き換え失敗している.
メールヘッダを確認.
謎のURLだけ書かれたメールが来た.
メールヘッダを見ると色々なメールゲートウェイでスパムと判定されている不審なメール.
URLはGoogleのCloud Storageのドメインなので,HTMLが何をしているのか確認.
メールヘッダを見ると色々なメールゲートウェイでスパムと判定されている不審なメール.
URLはGoogleのCloud Storageのドメインなので,HTMLが何をしているのか確認.
Broken messages has been foundというGoogle Notificationを騙る不審なメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/8 1:54
Actie vereist: uw mailbox staat op het punt vol te raken. というwhoisプロテクションからの転送メール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/6 2:27
お名前.comのWhois情報公開代行サービスというのを使っているのだけれど,管理しているドメインへの連絡先も代行で受けてくれて転送されてくることになっています.
そして今回初めて転送されてきたのがこのメール.
何書いてあるかわからんので,DeepLで翻訳.
引用: ドイツ語なのね.誘導先のFQDNはchina-in-europe.netとなっているけれど,このindexx.htmlとドメインのパラメータがついたURLにアクセスしてみた.
毎度のことながら,Microsoft Defender SmartScreenだとこの画面が出ますね.Google ChromeやFirefoxだと警告なく普通にアクセスできてしまいます.
警告を無視して構わずアクセスすると,こんなページに.
トップページにアクセスするとこんな感じ.
そして今回初めて転送されてきたのがこのメール.
何書いてあるかわからんので,DeepLで翻訳.
引用:
Actie vereist: uw mailbox staat op het punt vol te raken.
(3) eingehende E-Mails konnten nicht zugestellt werden.
Bitte gehen Sie zum Nachrichtencenter, um fehlgeschlagene Nachrichten abzurufen.
メールボックスが空いたままになっています。
(3) 受信したメールが届かなかった。
失敗したメッセージは、メッセージセンターで取り出してください。
毎度のことながら,Microsoft Defender SmartScreenだとこの画面が出ますね.Google ChromeやFirefoxだと警告なく普通にアクセスできてしまいます.
警告を無視して構わずアクセスすると,こんなページに.
トップページにアクセスするとこんな感じ.
お客様のカードに問題があることが判明しました ! というイオンカードを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/1 12:28
生活圏にないのでイオンカードは持った事がないのだけれど熱心に送ってきますね.やはり利用者が多いのかな.
今回はこのタイプ.
このメールに違和感があるのは,本文がこの文章を表示している画像1つだけということ.
メールヘッダを確認.
今回はこのタイプ.
このメールに違和感があるのは,本文がこの文章を表示している画像1つだけということ.
メールヘッダを確認.
【重要なお知らせ】えきねっとアカウントのロックを解除、情報を更新してください。というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/29 15:16
えきねっとを騙るフィッシングメールも多数来るけれど,以前確認したこれとかこれはうまく調査できなかったのだけれど,今回はチェックできました.
クレジットカード番号を入力したらエラーになったのは今回が初めてかな.これ,毎回オーソリー処理がかかっていたら,このフィッシングサイト運営組織は支払い費用だけで大変なことになりそう...
まずは到着したメール.
誘導先のFQDNを確認したらこんな感じ.
whoisすると意外な?
取得してから1週間.
BRドメイン株式会社という会社がレジストラで,京都にある模様.でも中国事業をやっている感じ?
「中国プロモーション」というリンクを踏んでみたけれど,この感じ.
クレジットカード番号を入力したらエラーになったのは今回が初めてかな.これ,毎回オーソリー処理がかかっていたら,このフィッシングサイト運営組織は支払い費用だけで大変なことになりそう...
まずは到着したメール.
誘導先のFQDNを確認したらこんな感じ.
whoisすると意外な?
Domain Name: ISOO1.COM
Registry Domain ID: 2719938433_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namegear.co
Registrar URL: http://www.brdomain.jp
Updated Date: 2022-08-22T14:35:06Z
Creation Date: 2022-08-22T14:27:45Z 🈁
Registry Expiry Date: 2023-08-22T14:27:45Z
Registrar: BR domain Inc. dba namegear.co
Registrar IANA ID: 1898
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: A.DNSPOD.COM
Name Server: B.DNSPOD.COM
Name Server: C.DNSPOD.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2022-08-29T05:44:46Z <<<
BRドメイン株式会社という会社がレジストラで,京都にある模様.でも中国事業をやっている感じ?
「中国プロモーション」というリンクを踏んでみたけれど,この感じ.
インスタグラムやTikTokでいいねしてくれる方を募集しています という迷惑メッセージ
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/27 0:37
iPhoneにこんなiMessageが.
iMessageが来るということは,iCloudのアカウントがばれていると言う事? よくわからないけれどサクラのアルバイト模様.内容に興味もないし分析もできないのだけれど,「迷惑メッセージを報告」することができるのでやってみた.
このボタンを押したら,とりあえず自分のメッセージ一覧からこの迷惑メッセージは消えただけですが...
調べると公式サイトに説明がありました.
iPhoneでメッセージを拒否する/フィルタする/報告する
https://support.apple.com/ja-jp/guide/iphone/iph203ab0be4/ios
引用: 止めることができないのなら,また来るのかもね.
iMessageが来るということは,iCloudのアカウントがばれていると言う事? よくわからないけれどサクラのアルバイト模様.内容に興味もないし分析もできないのだけれど,「迷惑メッセージを報告」することができるのでやってみた.
このボタンを押したら,とりあえず自分のメッセージ一覧からこの迷惑メッセージは消えただけですが...
調べると公式サイトに説明がありました.
iPhoneでメッセージを拒否する/フィルタする/報告する
https://support.apple.com/ja-jp/guide/iphone/iph203ab0be4/ios
引用:
送信者の情報とメッセージがAppleに送信され、そのメッセージはデバイスから完全に削除されます。
注記: 迷惑メッセージを報告しても、その送信者からのメッセージ送信を止めることはできませんが、その番号からの受信を拒否して受け取らないようにすることはできます。
お客様が不在の為お荷物を持ち帰りました。こちらにてご確認ください というSMSのURLがUnicodeだった件 その2
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/26 16:09
タイムラインを見る という 出会い系サイト デートマッチ から来た詐欺メールを調べる
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/26 15:28
ドコモのキャリアメールへ,次のようなメッセージが.
いきなり来てマッチングした相手がいますだなんて.
メールヘッダを見てみたけれど,KDDI回線を使っている様で,au.comのメールサーバを使っていることから,正規のキャリアメールアドレスを使っている模様.auからdocomoのサーバなのでチェックが甘かったのかな.
アクセスするとこんな感じ.
今時のポーズで,ひなのちゃん登場.(寝違えて首を痛めた?)
いきなり来てマッチングした相手がいますだなんて.
メールヘッダを見てみたけれど,KDDI回線を使っている様で,au.comのメールサーバを使っていることから,正規のキャリアメールアドレスを使っている模様.auからdocomoのサーバなのでチェックが甘かったのかな.
アクセスするとこんな感じ.
今時のポーズで,ひなのちゃん登場.(寝違えて首を痛めた?)
正式サイトの古いお知らせをフィッシングメール本文に貼り付けていたけれど,今度は反省した?のか,本文のお知らせ内容が最新に更新されたフィッシングメールが到着しました.
誘導先のサイトは既にMicrosoft Defender SmartScreenでは安全でないサイトと表示されるのでMicrosoft Edgeだとブロックされますが,現時点ではGoogle ChromeやApple Safariではアクセスできますね.
誘導先のサイトは既にMicrosoft Defender SmartScreenでは安全でないサイトと表示されるのでMicrosoft Edgeだとブロックされますが,現時点ではGoogle ChromeやApple Safariではアクセスできますね.
NHKアップグレードじゃないメールが来ていたので.
引用: 本文を見ると,なんだかNHKを取り巻く放送受信契約について熟知している感じがありますね.そして最後は強迫のような文面でフィッシングサイトへ誘導.
でも送信者のメアドはイオンを騙っていますね.道具立ては全て中国産でした.
引用:
【 NHK】利用いただき、ありがとうございます。
放送受信契約の未契約世帯への訴訟予告通知の発送について。
NHKでは、テレビ受信機を設置しているにもかかわらず、
放送受信契約を結んでいただけない世帯や事業所に対し、
公共放送の役割や受信料制度の意義などについて誠心誠意説明を行っていますが、
それでもなおご契約いただけない場合、受信料の公平負担を徹底する観点から
民事訴訟を提起することとしています。
重要なお知らせとなりますので下記をご確認お願い致します。
でも送信者のメアドはイオンを騙っていますね.道具立ては全て中国産でした.
うちにも届いていました.
誘導先のFQDNは既に閉鎖済み.
このフィッシングメールは,河野太郎デジタル担当相のツイートで先に知っていました.
というかフィッシングメールの数も多いのでちょっと負担が大きいなぁ.
誘導先のFQDNは既に閉鎖済み.
このフィッシングメールは,河野太郎デジタル担当相のツイートで先に知っていました.
というかフィッシングメールの数も多いのでちょっと負担が大きいなぁ.
ETCを騙るフィッシングメールも定番になりつつあるけれど,ちょっと文面が異なるものがあったのでよく観察してみた.
重要なお知らせの日付の曜日が違っているので,古いコンテンツの再利用かな.日付だけ変えて.
次にメールヘッダを確認.
ロシアのIPアドレスでアリババ利用なのでもう真っ赤って感じ.ちなみに誘導先のFQDNもこのshopのサイトも既に閉鎖されていました.
重要なお知らせの日付の曜日が違っているので,古いコンテンツの再利用かな.日付だけ変えて.
次にメールヘッダを確認.
ロシアのIPアドレスでアリババ利用なのでもう真っ赤って感じ.ちなみに誘導先のFQDNもこのshopのサイトも既に閉鎖されていました.
このセクストーションメールがたくさんきていますね.今のところうちには59件.
引用:
送金先のビットコインのアドレス,うちに来ているのはこの2つ.
https://www.blockchain.com/btc/address/1BGPWdGfXQN7YE9TStuHDoKvJMxkCvrJnz
https://www.blockchain.com/btc/address/1F4pZGFU3iY5zYpC12JvvFS5Wi6sXZmbpD
今日現在は,誰も送金してないようだけれど,2週間後くらいに再度見ると1トランザクションくらい動きがありますね.
メールヘッダを検証してみます.
まずは送信者を示すFromヘッダを抽出.
引用:
こんにちは!
恐縮ながら、悲しいニュースをお伝えします。
約1、2ヶ月前に、あなたがネットの閲覧にお使いのデバイス全てに対する、完全なアクセスの獲得に私は成功しました。
獲得してからは、継続的にあなたのインターネット活動を観察し始めたのです。
送金先のビットコインのアドレス,うちに来ているのはこの2つ.
https://www.blockchain.com/btc/address/1BGPWdGfXQN7YE9TStuHDoKvJMxkCvrJnz
https://www.blockchain.com/btc/address/1F4pZGFU3iY5zYpC12JvvFS5Wi6sXZmbpD
今日現在は,誰も送金してないようだけれど,2週間後くらいに再度見ると1トランザクションくらい動きがありますね.
メールヘッダを検証してみます.
まずは送信者を示すFromヘッダを抽出.
久々のセクストーションメール.全く同じ内容のものがうちに来たのは3月11日なのでちょうどいい5ヶ月?
引用:
今回のビットコインアドレスはこちら.
12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
https://www.blockchain.com/btc/address/12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
今回気づいたのは,X-Mailerにバリエーションがあったこと.
送信メールサーバは台湾とかブラジルとかの固定回線が使われているので,乗っ取られたPCで送信されているのでは?と考えています.
引用:
それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
私の正確なスキルを必要とする複雑なソフトウェア。
今回のビットコインアドレスはこちら.
12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
https://www.blockchain.com/btc/address/12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
今回気づいたのは,X-Mailerにバリエーションがあったこと.
Microsoft Office Outlook 12.0
Microsoft Outlook 14.0
Microsoft Outlook 15.0
Microsoft Outlook Express 6.00.2800.1106
Microsoft Windows Live Mail 16.4.3505.912
Microsoft Windows Live Mail 15.4.3508.1109
Hytbqaa yresp
Xtwelwlf srhafa 7.2
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.20) Gecko/20110805 Thunderbird/3.1.12
Pegasus Mail for Windows (4.61)
よくあるタイプなんだけれど,誘導先のFQDNがまだ活性化されていたのと,ログインの際に絵あわせ(CAPY)が用意されていた点が特徴的かな.
米国の固定回線なのにロケーションが沖縄と言い張る.もしかして沖縄の米軍基地の中とか?
ログイン画面がこれ.
米国の固定回線なのにロケーションが沖縄と言い張る.もしかして沖縄の米軍基地の中とか?
ログイン画面がこれ.
こんんあSMSメッセージが.
興味深いのは,このメッセージが着信した電話番号は,auからMNPした回線のものなので,KDDIからメッセージが来ていても違和感がないのかもしれない.
ちなみにリンク先のCuttlyのサイトでは404エラーになっていました.
興味深いのは,このメッセージが着信した電話番号は,auからMNPした回線のものなので,KDDIからメッセージが来ていても違和感がないのかもしれない.
ちなみにリンク先のCuttlyのサイトでは404エラーになっていました.
【重要なお知らせ】au PAY マーケット ご利用確認のお願い というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/3 11:10
au PAY マーケットなるサービスを騙るフィッシングメールが到着.メールが来てから4日も経過していたけれど,まだフィッシングサイトはテイクダウンされていませんでした.
まだMicrosoft EdgeとGoogle Chromeでアクセスできたので,フィッシング審議協議会にも通報しておきましたが...
まだMicrosoft EdgeとGoogle Chromeでアクセスできたので,フィッシング審議協議会にも通報しておきましたが...
メールの見た目は6月に来たフィッシングメールに近いけれど今回はサイトがテイクダウンされていなかったので興味深く確認してみました.
まず,フィッシングメール.
リンク先のURLが既に怪しいのだけれど,アクセスしてみる.
誘導先のURLから本物のフィッシングサイトに転送されています.
転送前のFQDNはtight-pond-54f1.28kgwe168834.workers.devでCloudFlareでホスティングされています.
まず,フィッシングメール.
リンク先のURLが既に怪しいのだけれど,アクセスしてみる.
誘導先のURLから本物のフィッシングサイトに転送されています.
転送前のFQDNはtight-pond-54f1.28kgwe168834.workers.devでCloudFlareでホスティングされています.
【東京電カエナジーパートナー】情報更新のお知らせ #758103 というフッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/28 1:17
フィッシングメール上だと「東京電カエナジーパートナー」だと言っているけれど,誘導先のサイトは「東北電力フロンティア」だったりする.
件名にも本文にも東京電力だと記載があるのに,メールフッタやリンク先が東北電力.
件名にも本文にも東京電力だと記載があるのに,メールフッタやリンク先が東北電力.
告知: 重要な機会のガイダンス というGMO インターネットのWEBメールを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/27 17:14
あまり見ないタイプのフィッシングメールが来た.
モザイクで伏せてある部分は,とあるドメインになるもので,件名,本文,メアド,誘導先のリンクにたくさん埋め込まれています.
どこから送ってきたのか調べる為にメールヘッダを確認してみました.
モザイクで伏せてある部分は,とあるドメインになるもので,件名,本文,メアド,誘導先のリンクにたくさん埋め込まれています.
どこから送ってきたのか調べる為にメールヘッダを確認してみました.
アマゾンの規約に違反したため、アカウントがロックされました! というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/22 2:28
お客様が不在の為お荷物を持ち帰りました。こちらにてご確認ください というSMSのURLがUnicodeだった件
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/14 17:07
貴方の名前で未払いがあります。出来るだけすぐに借金を清算してください。 というセクストーションメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/12 1:49
ちょっと今日は出かけていたのだけれど,帰ってこたらこんなメールが73通も同内容のセクストーションメールが来ていました.そういうキャンペーンの模様.月曜日だし?
今回は日本語版と英語版の入手ができたので,ちょっとみてみました.
引用: 今回は,過去にメールアドレスが漏洩したもの,サイト用にデフォルトで用意されるべきメールアドレス(infoとか),何だか不明な存在したことがないメールアドレス(エラーメールをサルベージしてる),ブログにあえて記載したクローリングされるであろうメールアドレス,それら全てに送信してきているようです.
また,docomo.ne.jp で作っている短い文字数のメアドにも来ていました.ドコモの迷惑メール対策を突破しているということですね.
引用:
今日現在の22万円相当のビットコイン価格を調べてみた.
今回は日本語版と英語版の入手ができたので,ちょっとみてみました.
引用:
こんにちは!
悲しいことに、今から残念な話をお伝えします。
ネット閲覧に利用されている全デバイスへの完全なアクセス権を数ヶ月前に、私は獲得しました。
そのすぐ後に、貴方がとった全てのネット上の活動記録をつけ始めています。
また,docomo.ne.jp で作っている短い文字数のメアドにも来ていました.ドコモの迷惑メール対策を突破しているということですね.
引用:
私のウォレットに ¥220000 (送金時の為替レートで、¥220000 相当のビットコイン)を送金してくれれば、お金の受け取りが終わるとすぐに、貴方が登場する全てのイヤラシイ動画は削除します。
今日現在の22万円相当のビットコイン価格を調べてみた.
【重要】アカウントは48時間後に自動的に削除されます。AMAZONをご利用いただきありがとうございます。メール番号:84488581 というフィッシングメールはGoogle翻訳を
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/10 1:51
最近ちょっと流行りの傾向.
フィッシングサイトへの誘導のURLに,Google翻訳を付けている.これはセキュリティゲートウェイ対策だと思われる.
メールヘッダを見てみる.
alexusMailerを使っているのと,Google翻訳を使っているのを考えると,以前調べたAMEXを騙る手口と同じもののよう.前回のAMEXのものとヘッダを見比べると,残っている情報の類似点が多い.
フィッシングサイトへの誘導のURLに,Google翻訳を付けている.これはセキュリティゲートウェイ対策だと思われる.
メールヘッダを見てみる.
alexusMailerを使っているのと,Google翻訳を使っているのを考えると,以前調べたAMEXを騙る手口と同じもののよう.前回のAMEXのものとヘッダを見比べると,残っている情報の類似点が多い.
三越伊勢丹WEBを騙るフィッシングメール.まだサイトがテイクダウンされてなかったので,アクセスしてみた.
メールはこんな感じ.
アクセスすると新規会員にもなれるっぽい?
ランダムなメールアドレスとパスワードでログインしてみる.
SSL証明書は,Let's Encryptだった.
クレジットカード番号などを適当に入れてみるも・・・
お客様番号エラーとしてこれ以上先にいけなかった.お客様番号のチェックをしている風だが桁数チェックだけ.
入力が終わると,正しいストアに転送されて終了.
メールヘッダを確認すると...
そもそも,差出人がアマゾンを語っているし,いつものChina Unicomだし.Foxmailだし.
メールはこんな感じ.
アクセスすると新規会員にもなれるっぽい?
ランダムなメールアドレスとパスワードでログインしてみる.
SSL証明書は,Let's Encryptだった.
クレジットカード番号などを適当に入れてみるも・・・
お客様番号エラーとしてこれ以上先にいけなかった.お客様番号のチェックをしている風だが桁数チェックだけ.
入力が終わると,正しいストアに転送されて終了.
メールヘッダを確認すると...
そもそも,差出人がアマゾンを語っているし,いつものChina Unicomだし.Foxmailだし.
あなたのアカウントは停止されました、情報を更新してください のフィッシングメールが流行り その2
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/7 15:26
今年の2月に大量に来ていたアマゾンを騙るフィッシングメールですが,また大量に来ています.
テレビCMをよくやっているけれど,年に一度のアマゾンプライムデーが7月12日から開催されるから,それに合わせてということだろうか.というかAmazonのセールってなんか毎月何らかのものをやっているような?
取り急ぎ手元にある11通をみてみたら,誘導先のURLは次の3つでした.
https[:]//www.elektro-stoeckl.com/
https[:]//www.kvp-consulting.com/
https[:]//www.0bmexico.com/
3つともすでにテイクダウンされているのでサイトは確認できませんでした.
IPアドレスは1つだけ汚れているのがありましたけれど,一旦全部報告しておきました.
https[:]//www.abuseipdb.com/check/116.138.210.116
https[:]//www.abuseipdb.com/check/175.148.74.54
https[:]//www.abuseipdb.com/check/175.148.74.136
https[:]//www.abuseipdb.com/check/175.173.181.225
https[:]//www.abuseipdb.com/check/175.165.128.140
https[:]//www.abuseipdb.com/check/175.173.182.253
https[:]//www.abuseipdb.com/check/59.58.104.129
https[:]//www.abuseipdb.com/check/42.55.252.135
https[:]//www.abuseipdb.com/check/42.59.84.18
https[:]//www.abuseipdb.com/check/123.188.37.222
基本的にはChina Unicomというプロバイダ.
使い回し感はあるし,そもそも同じメアドに何通もくるので,何度か収集したメアドリストを使って,それを名寄せ(uniq)してないのだろうなと推測.
テレビCMをよくやっているけれど,年に一度のアマゾンプライムデーが7月12日から開催されるから,それに合わせてということだろうか.というかAmazonのセールってなんか毎月何らかのものをやっているような?
取り急ぎ手元にある11通をみてみたら,誘導先のURLは次の3つでした.
https[:]//www.elektro-stoeckl.com/
https[:]//www.kvp-consulting.com/
https[:]//www.0bmexico.com/
3つともすでにテイクダウンされているのでサイトは確認できませんでした.
IPアドレスは1つだけ汚れているのがありましたけれど,一旦全部報告しておきました.
https[:]//www.abuseipdb.com/check/116.138.210.116
https[:]//www.abuseipdb.com/check/175.148.74.54
https[:]//www.abuseipdb.com/check/175.148.74.136
https[:]//www.abuseipdb.com/check/175.173.181.225
https[:]//www.abuseipdb.com/check/175.165.128.140
https[:]//www.abuseipdb.com/check/175.173.182.253
https[:]//www.abuseipdb.com/check/59.58.104.129
https[:]//www.abuseipdb.com/check/42.55.252.135
https[:]//www.abuseipdb.com/check/42.59.84.18
https[:]//www.abuseipdb.com/check/123.188.37.222
基本的にはChina Unicomというプロバイダ.
使い回し感はあるし,そもそも同じメアドに何通もくるので,何度か収集したメアドリストを使って,それを名寄せ(uniq)してないのだろうなと推測.
これも珍しくないタイプのフィッシングメール.
クレジットカード番号を入力させて,最後は本物のサイトに飛んで終わり.ただ,各入力項目のチェック精度が悪いので品質の低いサイト.
こんなメール.ユニークIDっぽいのが2つついているので,私が特定されないように削ってアクセス.
クレジットカード番号を入力させて,最後は本物のサイトに飛んで終わり.ただ,各入力項目のチェック精度が悪いので品質の低いサイト.
こんなメール.ユニークIDっぽいのが2つついているので,私が特定されないように削ってアクセス.
Personal Voicemessage というWhatsAppを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/1 17:26
20年以上使っているhotmailのメールアドレスに来たフィッシングメール.
フェイスブックが買収して,現在利用者は20億人を超えたメッセージングサービス.御多分に洩れず私は使ってない・・・
メッセージはhotmailに届いているけれど,メーラーとしてはApple Mailで受け取っています.受け取っている時点で,Playと書いてあるメッセージのリンクが,safelinks,protection.outlook.com経由になっていますね.
実際にはvantiburgict.nlにリンクが飛ぶようです.
強気にこれをクリックしてみます.
フェイスブックが買収して,現在利用者は20億人を超えたメッセージングサービス.御多分に洩れず私は使ってない・・・
メッセージはhotmailに届いているけれど,メーラーとしてはApple Mailで受け取っています.受け取っている時点で,Playと書いてあるメッセージのリンクが,safelinks,protection.outlook.com経由になっていますね.
実際にはvantiburgict.nlにリンクが飛ぶようです.
強気にこれをクリックしてみます.
これまでウチでは見かけないタイプのAmazonを騙るフィッシングメール.
誘導先はすでにテイクダウンされていたので解析はできませんでした.
仕方ないのでメールヘッダを確認.
香港のサーバからNTTPCコミュニケーションズのWebARENAが用意しているVPSを経由しているように見えるけれど,偽装かもしれないとのこと.
X-MailerもLffvmk 0というものなので,そういうパターンとしては他のフィッシングメールでよく見るものと同等かな.
誘導先はすでにテイクダウンされていたので解析はできませんでした.
仕方ないのでメールヘッダを確認.
香港のサーバからNTTPCコミュニケーションズのWebARENAが用意しているVPSを経由しているように見えるけれど,偽装かもしれないとのこと.
X-MailerもLffvmk 0というものなので,そういうパターンとしては他のフィッシングメールでよく見るものと同等かな.
ETCが異常に2回使用されました。(ETC利用照会サービス) というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/30 8:31
最近は文面にちょっと手の込んだ感じになっているものが増えてきた気がする.
これなんか,北海道の道央自動車道を使った翌日に,第三京浜を通過しているので,インポッシブルトラベルとまでは言えないが,ちょっと遠い.(あるいは重労働)
誘導先のURLにアクセスすると既にテイクダウンされていました.
最近このlocalhost向けに変更されていることが多いのだけれど,これはDNS制御なのかな?
これなんか,北海道の道央自動車道を使った翌日に,第三京浜を通過しているので,インポッシブルトラベルとまでは言えないが,ちょっと遠い.(あるいは重労働)
誘導先のURLにアクセスすると既にテイクダウンされていました.
最近このlocalhost向けに変更されていることが多いのだけれど,これはDNS制御なのかな?
市場最低価格 代引き スーパーコピー ブランド 専門店 という詐欺メールのURLをWarpDriveをつこてみた
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/30 8:14
これも既にテイクダウンされているのだけれど,しつこくフィッシングメールがきますね.
うちに到着した実績からすると,ばらまきの範囲としては広範囲の模様.
メールの本文とのバランスでは違和感がとてもあるイオンのロゴ.調べ方が悪いかもしれないけれど,ちょっと古いキャンペーンのようですが,ソースコードを見ると一応イオンの公式サイトから素材を持ってきていました.
そしてソースを見ていると何か不思議な隠し文字があることを発見.
うちに到着した実績からすると,ばらまきの範囲としては広範囲の模様.
メールの本文とのバランスでは違和感がとてもあるイオンのロゴ.調べ方が悪いかもしれないけれど,ちょっと古いキャンペーンのようですが,ソースコードを見ると一応イオンの公式サイトから素材を持ってきていました.
そしてソースを見ていると何か不思議な隠し文字があることを発見.
【最終警告】:Amazonお客様のプライム 会員資格がキャンセルされます というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/22 1:08
ピーティックスで漏洩してメアドにアマゾンを騙るフィッシングメールが来たのだけれど,こいつがどうもおかしい.
どうおかしいかというとSpamAssasinで判定されてないのです.なぜだろう.
メール本文を見ると不自然なものが無い.
メールヘッダを見ると色々とわかってくる.
メールはK&Kコーポレーションという尼崎にあるプロバイダが発行元になっているけれど,ODNのゲートウェイを二つ通過して送信されている模様.その間に入っているウイルス検知ゲートウェイでは怪しいと判定されてない.
ちなみにODNのIPアドレスの汚れ具合を見ると,結構悪い感じだった.
どうおかしいかというとSpamAssasinで判定されてないのです.なぜだろう.
メール本文を見ると不自然なものが無い.
メールヘッダを見ると色々とわかってくる.
メールはK&Kコーポレーションという尼崎にあるプロバイダが発行元になっているけれど,ODNのゲートウェイを二つ通過して送信されている模様.その間に入っているウイルス検知ゲートウェイでは怪しいと判定されてない.
ちなみにODNのIPアドレスの汚れ具合を見ると,結構悪い感じだった.
Evernoteを騙るフィッシングメールなのだけれど.
誘導先URLにアクセスすると既に本物に転送されるようになっていました.最近,この手法で対応されているものが多い. DNS世界の神の仕業というか.
誘導先URLにアクセスすると既に本物に転送されるようになっていました.最近,この手法で対応されているものが多い. DNS世界の神の仕業というか.
Amazon.co.jpの注文番号249-0545162-1436634 という太和田誠宛のフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/21 1:38
この誰だかわからない受取人が設定されているパターンって,最近流行りなんですかね.
他人宛の荷物を受け取っちゃおうという心理的な弱点を狙っているとかなのかな.ちなみに誘導先のURLはいつも閉鎖済み.
日本郵便の伝票番号を検索してみると・・・
他人宛の荷物を受け取っちゃおうという心理的な弱点を狙っているとかなのかな.ちなみに誘導先のURLはいつも閉鎖済み.
日本郵便の伝票番号を検索してみると・・・
【Amazon】重要なお知らせはタイムリーに処理してください というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/18 16:52
「タイムリーに処理してください」だなんて上から目線.犯人が使う言葉を翻訳ソフトにかけたらそういう命令口調になるのでしょう.そうなるとどこの国なのか・・・
既に誘導先FQDNは閉鎖済みでした.
記載のある住所をストリートビューで見てみるとこんな感じ.
集合住宅か.部屋番号までは記載がなかったので本当の住所かどうかは不明.
メールヘッダを確認してみる.
既に誘導先FQDNは閉鎖済みでした.
記載のある住所をストリートビューで見てみるとこんな感じ.
集合住宅か.部屋番号までは記載がなかったので本当の住所かどうかは不明.
メールヘッダを確認してみる.
【American Expressカード】ご利用確認してください。メール番号: というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/15 20:06
アメックスを騙るフィッシングメール.
メール番号というのが件名と本文内にあるのだけれど,一致しない.ちなみにカミさんにも届いていて,そちらの番号とも違う.
誘導先のURLがGoogle翻訳経由のようになっている.これは何かセキュリティフィルタを越えるための工夫なのか?
誘導先のFQDNにアクセスしてみる.
メール番号というのが件名と本文内にあるのだけれど,一致しない.ちなみにカミさんにも届いていて,そちらの番号とも違う.
誘導先のURLがGoogle翻訳経由のようになっている.これは何かセキュリティフィルタを越えるための工夫なのか?
誘導先のFQDNにアクセスしてみる.
新しいデバイスからアマゾンにログインしたと連絡が来た.
アマゾンのアカウント持ってないけどな,というのは置いといてアクセスしてみたら既に対策されていて本物のサイトに転送されるようになっていた.
VTで確認すると,そんなに酷いスコアではないが,Google Safebrowsingがフィッシングと判断しているから,精度は高いと判断されたのでしょう.
今回気になったのは迷惑メールフラグがつかなかったこと.
ちゃんとしてクラウドサービスを使っているので,問題なかった模様.スパムアサシンのスコアも付かなかった.
しかし,X-MailerにFoxmailが入っているので,この辺りのスコアを見る必要があるのかな.
アマゾンのアカウント持ってないけどな,というのは置いといてアクセスしてみたら既に対策されていて本物のサイトに転送されるようになっていた.
VTで確認すると,そんなに酷いスコアではないが,Google Safebrowsingがフィッシングと判断しているから,精度は高いと判断されたのでしょう.
今回気になったのは迷惑メールフラグがつかなかったこと.
ちゃんとしてクラウドサービスを使っているので,問題なかった模様.スパムアサシンのスコアも付かなかった.
しかし,X-MailerにFoxmailが入っているので,この辺りのスコアを見る必要があるのかな.
【三井住友銀行】契約締結前交付書面兼説明書に関する重要なお知らせ というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/13 13:36
メールの件名がこれまでと違う特徴のあるものが到着.
「契約締結前交付書面兼説明書の改訂」という内容から誘導先でどうやってクレジットカード番号とかアカウントを搾取するのだろうと興味深く誘導先のFQDNを覗いてみたけれど既にテイクダウンされて本物のサイトにリダイレクトされるようになっていました.
「契約締結前交付書面兼説明書の改訂」という内容から誘導先でどうやってクレジットカード番号とかアカウントを搾取するのだろうと興味深く誘導先のFQDNを覗いてみたけれど既にテイクダウンされて本物のサイトにリダイレクトされるようになっていました.
うちには初めてきた気がするタイプのフィッシングメール.
メール本文に画像ビーコンが埋め込まれていたので,ちょっとうかつだった.
AbuseIPDB では未登録だが VirusTotal では少なからずマリシャスと登録されています.
ロボット判定のキャプチャが実装されていたり,クレジットカード番号からブランドを判別して画面を出すなど巧妙.しかし有効期限などのチェックはされていません.
メールのソースコードをBASE64からでコードすると,埋め込まれたビーコンが出てきました.
プレイスフォルダとは,作成中のサイトという意味.実際にアクセスすると次の通り.
引用:
次に誘導先のURLにアクセスしてみた.
失敗した後に,本物のサイトに転送されます.
メール本文に画像ビーコンが埋め込まれていたので,ちょっとうかつだった.
AbuseIPDB では未登録だが VirusTotal では少なからずマリシャスと登録されています.
ロボット判定のキャプチャが実装されていたり,クレジットカード番号からブランドを判別して画面を出すなど巧妙.しかし有効期限などのチェックはされていません.
メールのソースコードをBASE64からでコードすると,埋め込まれたビーコンが出てきました.
プレイスフォルダとは,作成中のサイトという意味.実際にアクセスすると次の通り.
引用:
恭喜, 站点创建成功!
这是默认index.html,本页面由系统自动生成
本页面在FTP根目录下的index.html
您可以修改、删除或覆盖本页面
FTP相关信息,请到“面板系统后台 > FTP” 查看
おめでとうございます!サイトは正常に作成されました。
これはデフォルトのindex.htmlで、このページはシステムによって自動的に生成されます。
このページは、FTPのルートディレクトリにあるindex.html
このページを修正、削除、上書きすることができます。
FTP関連は「パネルシステム・バックエンド>FTP」でご確認ください。
次に誘導先のURLにアクセスしてみた.
失敗した後に,本物のサイトに転送されます.
ETCに関係するフィッシングメールも,それなりの頻度でくるのだけれど今回は特別.
メールの件名は日本語だけれど,本文が全て中国語のようです.これはどういう事でしょう?
ちなみに「使用记录确认」とは翻訳すると「使用実績の確認」なのだそうです.
引用:
これは翻訳前の原文を送付してしまった関係かな?あるいは日本にいる中国語を話す人をターゲットに?
メールの件名は日本語だけれど,本文が全て中国語のようです.これはどういう事でしょう?
ちなみに「使用记录确认」とは翻訳すると「使用実績の確認」なのだそうです.
引用:
感谢您使用 ETC 服务。
我们计划在不久的将来升级系统。在您的 ETC 账户中检测到账户提醒风险。请再次确认ETC支付方式。
如果您想继续这项服务,请点击以下链接了解更多信息。
ETCサービスをご利用いただき、ありがとうございます。
近い将来、システムのアップグレードを予定しています。 お客様のETCアカウントでアカウントアラートリスクが検出されました。 ETCのお支払い方法を再度ご確認ください。
継続を希望される方は、下記のリンクより詳細をご確認ください。
これは翻訳前の原文を送付してしまった関係かな?あるいは日本にいる中国語を話す人をターゲットに?
時事ネタにも敏感に反応し対応しているようだ.
山口県だけでなく,葛飾区でも御振り込みが発覚して話題.そういうニュースに便乗した件名になっているフィッシングメールが来たので感心した.
しかし誘導先のサーバは既に停止されていたので様子を見ることはできませんでした.
山口県だけでなく,葛飾区でも御振り込みが発覚して話題.そういうニュースに便乗した件名になっているフィッシングメールが来たので感心した.
しかし誘導先のサーバは既に停止されていたので様子を見ることはできませんでした.
新しい文面の詐欺メール.
Do kwon(ドー・クォン)というのは韓国人でステーブルコインのterraUSDとかTerra(LUNA)を運営していた暗号通貨開発者.
その人がビットコインとかETH(イーサリアム)で5000 BTC(20,291,664,070円≒200億円)をプレゼントするイベントを開催する模様.
仮想通貨に詳しくないけれど,韓国発の仮想通貨が大暴落したというニュースは軽く知っているので,そういう感度が高い人は,このお誘いに乗るのかもしれない.
新LUNAトークンが最高値から90%近く下落、下げ基調継続
https://vc.morningstar.co.jp/010851.html
引用:
アクセスしてみると,Microsoft Defender SmartScreenでは安全でないサイトとして報告されていると警告が出ますね.
これはLuna2.0Foundationからの公式プレゼントです。
参加するには、使用する暗号通貨をクリックして利用規約を確認してください。
そこにいるすべての暗号ファンのための特別な景品イベントを開催します。
プレゼントに参加したいなら、とても簡単です!
参加したい場合は、簡単に参加できます。
詳細については、以下のBTCまたはETHエアドロップポータルに移動してください:
https://kwoneventt.com/
その人がビットコインとかETH(イーサリアム)で5000 BTC(20,291,664,070円≒200億円)をプレゼントするイベントを開催する模様.
仮想通貨に詳しくないけれど,韓国発の仮想通貨が大暴落したというニュースは軽く知っているので,そういう感度が高い人は,このお誘いに乗るのかもしれない.
新LUNAトークンが最高値から90%近く下落、下げ基調継続
https://vc.morningstar.co.jp/010851.html
引用:
新たなテラ・ブロックチェーンのネイティブトークンであるテラ(LUNA)は、取引初日に急騰した後、一貫して下落している。業界観測筋は、このテラを復活させる試みがうまくいくのか疑問視し続けている。
アクセスしてみると,Microsoft Defender SmartScreenでは安全でないサイトとして報告されていると警告が出ますね.
facebookにこんな広告が・・・
小田急百貨店新宿本店は閉店する.2022年9月末に.
営業不審ではない.営業不信があったとしても,それをこんな風に言い切ることは無いのでは
リンク先のmousepadjh.clubにアクセスしてみた.
小田急百貨店新宿本店は閉店する.2022年9月末に.
営業不審ではない.営業不信があったとしても,それをこんな風に言い切ることは無いのでは
リンク先のmousepadjh.clubにアクセスしてみた.
【三井住友会社】本人確認などを措置取らせていただく必要がございます。 というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/3 11:41
「三井住友会社」ってなんだ?ってことだな.「本人確認などを措置取らせていただく」というのも文章が崩壊しているし.
後半にあるリンクは全て本物のサイトへの誘導になっている点が,新しい?感じ.でも精度が悪い.
今朝の8時amに到着したけれど,既にテイクダウンされていました.
安全でないサイトへの移動を続けても,本物のサイトに転送されます.
後半にあるリンクは全て本物のサイトへの誘導になっている点が,新しい?感じ.でも精度が悪い.
今朝の8時amに到着したけれど,既にテイクダウンされていました.
安全でないサイトへの移動を続けても,本物のサイトに転送されます.
また「アップグレード」がきた.更新てことかなぁ.
URLが掲示されているものとリンク先が違う古典的なもの.でもスマホだとこれで引っかかる.
こういうページで「テーマ」のボタンを押しても,無反応w
そして淡々と進めていくと,衝撃の事実が...
URLが掲示されているものとリンク先が違う古典的なもの.でもスマホだとこれで引っかかる.
こういうページで「テーマ」のボタンを押しても,無反応w
そして淡々と進めていくと,衝撃の事実が...