UJP - スパム・フィッシングカテゴリのエントリ

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ スパム・フィッシング の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - スパム・フィッシングカテゴリのエントリ

 アマゾンを騙るフィッシングメールで,Amazonギフト券がもらえる感じのメールが何通かきていました.


 何かの謝礼でもらえるAmazonギフトは500円相当が普通なので,5,580円というのは違和感がある.そもそもなぜその値段? どこかの国の通過レートでちょうど良い感じなのかなぁ...
 ちょっと見慣れないタイプの文面のアマゾンを騙るフィッシングメールが来た.
 調べてみると雑すぎる内容だったので,わざわざ記載.でも時間軸がちょっとずれている.


 文書もおかしいので一目瞭然なのだけれど,リンク先のURLを確認.

...続きを読む

yukinaka11!

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2022/5/12 1:04
 どこかで漏れた誰かのパスワードなのだろう.
 ピーティックスで漏洩したメアドにこんなメールが来た.


 「買取ボブ」なる業者でギフト券を買い取りますというもの.ギフト券を持っていないし買取ボブも知らないけれど,URLもヘンテコだがアクセスしてみた.


 振り込みまで15分とあるので,ギフト券のカード番号か何かを入力すれば即入金ということだろう.この場合偽サイトなので入力したギフト券を搾取されて終わりとなるでしょう.

...続きを読む

メッセージS

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2022/5/9 15:07
 カミさんのドコモメールにメッセージSで文字化けメールが届いた.なんか16進数の並びがとても怖かったようなので,ちょっと解析してみた.


 届いたメッセージはBASE64エンコードされたことがわかる.
 サイバーシェフのサイトで,From Base64でデコードしてみる.


 普通にリクルートから送付された広告メールでした.

 そもそも,メッセージSを知らない人も多いような.ガラケー時代からあるけれど.

「メッセージS」とは
https://www.docomo.ne.jp/biz/service/message_s/

引用:
メッセージSは、日時、地域、属性、興味・関心などのユーザー属性に基づくターゲティングが可能なスマートフォン向けメール型広告サービスです。
約3,400万人の登録者(※1)に対し、キャンペーンやイベント情報の配信など効果的なプロモーションとして活用可能です。

事業計画

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2022/5/6 12:48
 珍しいタイプの迷惑メールが来た.


 タイトルに「事業計画」と書いてあるけれど,本文に何もない.


 何もないと思って見過ごすのじゃなくて,ソースコードを確認すると,quoted-printableでエンコードされた謎の文書が.


 エンコードマニアクスを使ってデコードしてみると文書が出ました.
 該当のメールアドレスをGoogle検索しても何も出てこないけれど,まぁ素性はよろしくないでしょう.
 セクストーションメールがちらほらと.
 某SNSで漏洩したメアドと,Webクローリングで収集されたメアドに対してのフィッシングメールの送信です.

引用:
Hello!

Unfortunately, I have some unpleasant news for you.
Roughly several months ago I have managed to get a complete access to all devices that you use to browse internet.
Afterwards, I have proceeded with monitoring all internet activities of yours.

You can check out the sequence of events summarize below:
Previously I have bought from hackers a special access to various email accounts (currently, it is rather a straightforward thing that can be done online).
Clearly, I could effortlessly log in to your email account as well (メールアドレス).

ー略ー

We can still resolve it in the following manner:
You perform a transfer of $1590 USD to me (a bitcoin equivalent based on the exchange rate during the funds transfer), so after I receive the transfer, I will straight away remove all those lecherous videos without hesitation.
Then we can pretend like it has never happened before. In addition, I assure that all the harmful software will be deactivated and removed from all devices of yours. Don't worry, I am a man of my word.


It is really a good deal with a considerably low the price, bearing in mind that I was monitoring your profile as well as traffic over an extended period.
If you still unaware about the purchase and transfer process of bitcoins - all you can do is find the necessary information online.

My bitcoin wallet is as follows: 1MW4maqRuqi62YiRNMaBiHT65WJJMEAvQw

You are left with 48 hours and the countdown starts right after you open this email (2 days to be specific).


こんにちは。

残念なお知らせがあります。
数ヶ月前、私はあなたがインターネットを閲覧するために使用しているすべてのデバイスに完全にアクセスすることに成功しました。
その後、私はあなたのインターネット活動をすべて監視しています。

その経緯は以下の通りです。
以前、私はハッカーから様々な電子メールアカウントへの特別なアクセス権を購入しました(現在、それはオンラインで行うことができる、むしろ簡単なことです)。
明らかに、私はあなたの電子メールアカウントにも簡単にログインすることができました(メールアドレス)。

ー略ー

それでも以下の方法で解決することができます。
あなたは私に1590ドル(送金時の為替レートに基づくビットコイン相当額)の送金を行い、私は送金を受け取った後、迷わずそれらの淫らなビデオをすべて直ぐに削除します。
そうすれば、今までのことはなかったことにできる。さらに、あなたのすべてのデバイスから、すべての有害なソフトウェアを無効化し、削除することを保証します。心配しないでください、私は約束を守る男です。

私があなたのプロフィールとトラフィックを長期間にわたって監視していたことを考えると、かなり低価格で本当に良い取引だと思います。
あなたはまだビットコインの購入と転送プロセスについて知らない場合 - あなたができるすべては、必要な情報をオンラインで見つけることです。

私のビットコイン財布は次のとおりです。1MW4maqRuqi62YiRNMaBiHT65WJMEAvQw

あなたには48時間が残されており、このメールを開いた直後からカウントダウンが始まります(具体的には2日後)。
 1590$か.今現在の価格で207526.80円.
 このタイプは5月3日くらいから観測されているようです.
X-Spam-Status: Yes, score=11.876 tagged_above=2 required=6
	tests=[BITCOIN_ONAN=1, BITCOIN_XPRIO=0.001, DOS_OE_TO_MX=3.086,
	HDR_ORDER_FTSDMCXX_DIRECT=0.001, MIMEOLE_DIRECT_TO_MX=1.982,
	PDS_BTC_ID=0.498, PDS_BTC_MSGID=0.001, RCVD_IN_PSBL=2.7,
	RCVD_IN_VALIDITY_RPBL=1.284, SPF_HELO_NONE=0.001, SPF_NONE=0.001,
	T_SCC_BODY_TEXT_LINE=-0.01, URIBL_BLOCKED=0.001, XPRIO=1.33]
 SpamAssassin的にはスコアが11を超えています.OUTLOOK EXPRESS 6を使っていたりと古典的なツールを使っていることがわかります.

私版:スパムメール動向

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2022/5/5 17:26
 カミさんが「ゴールデンウィークになってフィッシングメールが減っている気がする」というので調べてみた.
 スパムの壺にしているメールボックスをThunderbirdのThirdStats 1.8.0で集計.


 4月29日から5月5日の今現在で218通到着.1日あたり約31通.

...続きを読む

 facebookの公式の広告でコーヒーマシンが出ていました.


 デロンギと関係なさそうなアカウントやドメインで,トップドメインも.SHOPだったりと怪しさ満点.コーヒーメーカの値段を知らないので,この7,896円が適正価格なのかは判断つかないのだけれど調べてみました.


 なんと17万円越えで売られているモデルなんですね.それが4%の値段になる訳が無い...
 このタイプのアマゾンの明細書?みたいなフィッシングメールが稀にきます.うちの場合,累計4通くらいで今回は3パターン目.


 記載されている住所は,以前のものは集合住宅だったけれど今回は一軒家でした.ストリートビューで覗いてみると・・・

...続きを読む

 気付くのが遅れたけれど,こんなメールが2通ほどきていました.

 ロシア!というので警戒しそうだけれど,IPアドレスはデタラメです.

引用:
Please go to your recent activity page to let us know whether or not this was you. If this wasn't you, we'll help you secure your account. If this was you, we'll trust similar activity in the future.

最近のアクティビティページで、これがあなたであったかどうかをお知らせください。ご本人でない場合は、アカウントの安全を確保するお手伝いをします。もしご本人であれば、今後同様の行為がないか確認させていただきます。
 不正なサインイン検知の警告だけれど,クリックするとgmailへメールを出す方式なっています.


 Authentication-Resultsもerrorやfailばかり.

 調べると,昔からよくある手口の様です.
 今日はこのキャンペーンが大量に発信されていますね.今のところうちには37通到着しています.

引用:
残念ながら凶報がございます。
数ヶ月前、あなたがインターネット閲覧に利用しているデバイスへのアクセス権を取得しました。
さらに、あなたのインターネット活動の追跡も行いました。

下記は、それまでに至る経緯です。
以前、ハッカーから複数のメールアドレスへのアクセス権を購入しました(最近では、オンライン上で簡単に購入することが可能です)。

-略-

この件は下記のように解決させましょう。
あなたがすべきことは、ただ ¥200000 を私のアカウントに送金するだけです(送金時の為替レートに基づくビットコイン相当)。

-略-

下記が私のビットコインウォレットです: 1BPg8v7GRxWHNPQvrtxbJPGLhLK1mKwbYe
 ¥200000というのは,この手の脅迫メールでは,最近はこの相場なのかな.

 そして37通のメールをよく見るとビットコインのアドレスは2つありました.

https://www.blockchain.com/btc/address/1BPg8v7GRxWHNPQvrtxbJPGLhLK1mKwbYe
https://www.blockchain.com/btc/address/14su8eLbjd5n4K4KSW86quMKZzpVHEc1tG

 まだ誰も支払ってない模様.
 大量にくるフィッシングメールの中で,何かめぼしいものはないかと思っているのだけれど,今回見つけたのはこんなメール.


 ログインした際のIPアドレスが記載されている体裁の本文もよくあるけれど,そのIPアドレスが外国ばかりだったのだが,今回は日本のIPアドレスだった.

...続きを読む

 最近は面白いフィッシングメールも少なくなってきた.大量にくるのだけれど同じ内容ばかりというか.

 今回は件名は「三井住友フィナンシャルグループ」となっているんだけれど,イオンカードのフィッシングと思われる下敷が透けて出てくるフィッシングメール.


 電話番号の記載があるけれど,03-6863-7760はダイナースクラブ・オーソリセンターなので会社が違いますね.

 本文で,「バレンシアガ公式オンラインショップで12万円の決済が失敗した」となっているけれど,バレンシアガってなんだろうって調べたら・・・


 スペイン発のブランドで1900年初頭に創立されたブランドだそうです.なかなかのハイブランドの様な感じ.着る人を選ぶというか.

 12万円の決済を軸に調べてみたら,何となくこの商品群かなっていうのがありました.


 スニーカーが10万円から14万円くらいの間で売られているようで,世間では人気だというし.

 誘導先のURLにアクセスしてみました.

...続きを読む

 このタイプは,うちでは初めてかな?

引用:
auのお客様

いつもauをご利用いただき誠にありがとうございます。お客様の契約した今月のデータ通信量が20GBを超えましたため、プランによってデータ通信制限が設定されています

そのまま使い続けた場合、高額料金は発生しますので、アカウントを更新して解除手続きの程よろしくお願い致します。予めご了承ください。
 DKIMやSPFをパスしているという特徴がある.DMARCはpermerrorです.ヘッダを詳しくチェックしてみました.
 

...続きを読む

 大量にこのメールが出ていることを観測.

引用:
どうしてそのようなことが起きたのでしょうか?あなたがハックされたウェブサイトを閲覧したことにより、そこに仕掛けられた私の個人的なマルウェアにあなたのデバイスが感染したのです。
これはとても複雑なソフトウェアであり、トロイの木馬のような働きをます。また、個人的なマルウェアなため、アンチウィルスソフトが検知することが出来ないのです。
キーボードの操作を監視・記録するキーロガーが仕掛けられており、これにより私は、あなたのデバイスにおけるカメラやマイクの操作、ファイルの転送、あなたのローカルネットワークへのアクセスを行うことができます。
デバイスの情報にアクセスするのに少し時間がかかりましたが、現在、私はあなたの連絡先やテキストの全情報を入手しています。

正直なところ、最初は悪いことはしたくないと思っていたので、遊びでやっていました。 でも、COVIDで体調を崩してしまい、仕事を失ってしまいました。
 新型コロナウイルスで体調を崩したことが動機のようです...

...続きを読む

 ちょっとこれまでと違うフィッシングメールが.


 「支払い方法は無効だ」という力強さを感じる...「請求書が未払い」という日本語もオカシイけれど.

 誘導されているURLにアクセスしてみた.

...続きを読む

使い回し系

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2022/3/31 12:26
 1日のうちに,ラクマ,メルカリ,ファミペイを騙るフィッシングメールがくるのだけれど,文面が皆同じ.もうこれはDDoSのカテゴリかもしれないね.





 久々に新種のフィッシングメールが.カミさんに届いたのはこんな感じ.


 以前のウーバーイーツを騙るフィッシングメールと同様に,注文履歴の模様.
 届け先が他人になっている.この人が存在するのかどうかはわからないけれど,記載されている住所はGoogle Mapで存在しているようでした.
 既に誘導先のサイトはテイクダウンされていましたが,ついクリックしてしまった模様・・・

...続きを読む

 ブログにメアドを書いたら,どれくらいで迷惑メールが来るかの件,もう早速,組み込まれた様で早速アマゾンを騙るフィッシングメールが来ました.


 「システム通知」ってなんだろうって.興味深かったのでアクセスしてみたのですが・・・

...続きを読む

 Webサイトにメアドを晒したら,どれくらいで迷惑メールが来るのかのチェックのためにクローリングからの試験という記事を書いてみた.

 早速到着.


 16日間か.

 で,どういう内容なのかを確認してみると.

引用:
Dear Friend,

Glad to learn you're on the market of medical device.

260 workers, 25000 m^2 non-dust workshop, 21 years experience, 3 years' vendor of Panasonic, ISO, CE & FDA certificated, fully automated production lines, one hour reach Guangzhou port, this is how we keep good quality and competitive prices for global valued customers.
Our main products cover digital thermometer and blood pressure monitor.

If any product meed your demand, please feel free to contact us. Catalog & Free samples can be offered if price content.

DeepL翻訳
親愛なる友人へ

あなたが医療機器の市場にいることを学べてうれしいです。

260 人の労働者、25000 m^2の非塵の研修会、21 年の経験、3 年間の松下電器産業の売り手、証明される ISO のセリウム及び FDA は十分に自動化された生産ライン、1 時間の範囲広州港、これです私達が全体的な評価された顧客のための良質そして競争価格をいかに保つかです。
私達の主要なプロダクトはデジタル体温計および血圧のモニターをカバーします。

どのプロダクトでもあなたの要求を meed、私達に連絡すること自由に感じて下さい。カタログ及び試供品は価格の内容なら提供することができます。


Google翻訳
親愛なる友人、

あなたが医療機器の市場に出ていることを知ってうれしいです。

260人の労働者、25000m^2の非ダストワークショップ、21年の経験、パナソニックの3年のベンダー、ISO、CE、FDA認定、完全自動化された生産ライン、広州港まで1時間、これが私たちが高品質と競争力のある価格を維持する方法です 世界的に大切なお客様。
当社の主な製品は、デジタル体温計と血圧計をカバーしています。

ご要望に応じた商品がございましたら、お気軽にお問い合わせください。 価格内容があれば、カタログと無料サンプルを提供できます。

 2001年の設立された中国の体温系,血圧計などを製造している会社の様.営業メールだな.
 今朝きたVISAを騙るフィッシングメール.


 本日期限ということで,焦らせる手口.リンク先がWordPressの様になっているけれど,アクセスすると別のサイトに転送されます.


 「りそなVISAカード」のフォントがちょっと違和感がある.

...続きを読む

 申請銀行は,引き通しがあったら通知が来るのかな?


 ガスリョウキンじゃなくて「ガスリヨウキン」というのが日本っぽい.

 誘導されたURLにアクセスしてみた.本物と偽物で決定的な違いが.

...続きを読む

 メタップスペイメントの情報漏洩に便乗したフィッシングメールが.


 誘導先のURLは既にテイクダウンされていました.

...続きを読む

 今日は,このタイプが流行り.


 既にサイトにはアクセスできないのだけれど,やはり検査機関によって温度感が違うなぁ.

...続きを読む

 もうなにをやっているか,やっている人たちもわかってないんだろうな.


 MyJCBといいつつ中身はauを騙っている.
 本文は昨日のauのものと一致しますね.


昨日のフィッシングメール

 通報だけしておきました.
 カミさんが見慣れないフィッシングメールが来たというので確認してみた.

 SpamAssassinもスコアをつけてないしカスペルスキーもX-KLMS-AntiSpam-Rate: 0をつけてる.SPFとDKIM,DMARCをpassしているしrDNSでも名前が引ける点なども巧妙な感じ.
 最近多いアマゾンやえきねっと,メルカリとは違う特徴のあるフィッシングメールでした.うちとしては新規参入業者という感じ.偽装URLのチェックもしてあるし.


 メールはテキストだけれどutf8で,リンク先はdmm-acount[.]comとなって長いランダム数とメールアドレスがパラーメータになっている.
 パラメータの中身をちょっと変えてメアドを変えてアクセスしてみた.

...続きを読む

 なんか変なメールが来たけれども,リンク先が正しいというマレな?フィッシングメール. ちなみにメールの受信者はマイスペースでの漏洩アカウントでヨドバシカメラの非会員.


 URLリンクも偽装されてないし,リンク先もセイシキナヨドバシカメラのサイトだというのはSSL証明書を参照して確認できた.
 このメール,よくみるとフッターの部分,2021年になっているね.

 SpamAssassinのスコアがあったので評価してみる.

...続きを読む

 ピーティックスで漏洩したメールアドレスと日本語氏名を使って,フッシングメールが来ました.
 定番の"X-mailer: Foxmail 6"が含まれているのでもう..w


 今回はauを騙るわけですが,ログインフォームとソースコードに面白い特徴がありました.文書を書くのが面倒なので画像で説明していきます.

...続きを読む

 JR西日本のClub J-WESTを騙るフィッシングメール.



 RECEIVER_ADDRESSの部分,宛先の差し込み置き換わってないというよくある特徴がある.

...続きを読む

 1月17日ごろ以来,昨日から大量に迷惑メールが配信されている模様.今のところウチでは11通.
 マイスペースの漏洩,ピーティックスの漏洩とデフォルト設置アカウントの3種類ともに満遍なく来ていますね.そうとうのばらまきだろうかと.

 しかしビットコインで支払いは確認できていません.




https://www.blockchain.com/btc/address/1QKeX2cZmxgFPL91BACieuV3guuTDqLGLo

 こんなに頻繁にメール送ってくるとネ.

 ただ今回気になるのは,うちのSpamAssassionはスコアを付けませんでした.すり抜けている.

 どこから送られているのか,IPアドレスを調べたらベトナム,中国,シンガポール,韓国,ブラジル,インド,ガボン,ペルー,イスラエルという感じでした.家庭用と思われる固定回線とモバイル回線がありますね.サーバからでは無いっぽい.
 モバイル回線と言っても国によっては固定回線の代わりの様に使っているところもありそう.

 送信IPアドレスが何かしらのブラックリストに入ってない&回線種類がプロバイダ系だと過検知にならないとかなのかも?

クローリングからの試験

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2022/3/10 15:17
 Apple IDを搾取しようとするフィッシングメールに,Please report abuseというヘッダがあったので,そこに記載のあるmailchimpというメール送信業者にレポートしてみたら回答がありました.

引用:
Hello,

Our delivery team has confirmed these emails did not originate from Mailchimp's servers.

Unfortunately the people who sent the email faked Mailchimp's header information and unsubscribe links in order to make it appear like it originated with Mailchimp.

If you have any other questions, please let us know.

こんにちは。

弊社の配信チームが、これらのメールがMailchimpのサーバーから発信されたものではないことを確認しました。

残念ながら、このメールを送信した人は、Mailchimpのヘッダー情報と購読解除のリンクを偽造し、Mailchimpから送信されたように見せかけました。

その他、ご不明な点がございましたら、ご連絡ください。


 内容の真偽は不明だけれど,早い段階で返信が来たのはとても好感度が高い.

 でもメールヘッダまで偽装したとなると,メール配信には詳しいスパム業者ってことかな.X-Spam-Status: No, score=3.01で,一番スコアが高いのはINVALID_MSGID=1.167,その次はFUZZY_APPLE=1でした.Obfuscated "apple"(難読化されたApple)だって.
メルカリを騙るフィッシングメールの勢いが止まらない.メールの時点でSpamAssassinのスコアも高いし,文面もほぼ同じだしメルカリ使ってないので詐欺だとわかるけれど,ずっとさまざまなブラウザでもロックダウンされないなと思っていたのだけれど,リンク先のURLを見て理由がわかりました.

...続きを読む

Subject: Help Ukraine その2

カテゴリ : 
セキュリティ » スパム・フィッシング
ブロガー : 
ujpblog 2022/3/10 0:12
 大量にウクライナへの寄付をつのるSubject: Help Ukraineが来てから3日ほど経過したけれど,またポツポツ来る様になってきた.

 本文は全く同じものなので,今回はSpamAssassinのメールヘッダについて確認してみる.

X-Spam-Status: Yes, score=22.522 ✅
tagged_above=2 
required=6
tests=[
BITCOIN_XPRIO=1.677, 🈁
DATE_IN_FUTURE_06_12=0.001,
DOS_OE_TO_MX=3.086, 
HDR_ORDER_FTSDMCXX_DIRECT=1,
HDR_ORDER_FTSDMCXX_NORDNS=3.013, 🈁
HTML_MESSAGE=0.001,
MIMEOLE_DIRECT_TO_MX=1.825, 🈁
NO_FM_NAME_IP_HOSTN=0.001,
PDS_BTC_ID=0.498, 
PDS_BTC_MSGID=0.001, 
RATWARE_NO_RDNS=2.996,🈁
RCVD_IN_BL_SPAMCOP_NET=1.246, 🈁
RCVD_IN_PSBL=2.7,🈁
RCVD_IN_VALIDITY_RPBL=1.284,🈁 
RDNS_NONE=1.274, 
SPF_NONE=0.001,
T_SCC_BODY_TEXT_LINE=-0.01, 
XPRIO=1.928
 スコアが22.5なんてのは初めてみた.

  • BITCOIN_XPRIOはBitcoin + priorityのことでビットコインのアドレスが載っているからかなぁ.
  • DOS_OE_TO_MX=は,X-MailerがMicrosoft Outlook Express 6を示している事.
  • HDR_ORDER_FTSDMCXX_NORDNSはスパムと同様のヘッダ順という特徴にrDNS設定が無いので怪しい.
  • MIMEOLE_DIRECT_TO_MXは,Microsoftのメール製品が直接メールサーバに接続している
  • RATWARE_NO_RDNSはMessage-IDが怪しい.
  • RCVD_IN_BL_SPAMCOP_NETは,spamcop.netのブラックリストに登録されている.
  • RCVD_IN_PSBLは,Passive Spam Block Listに登録されている.
  • RCVD_IN_VALIDITY_RPBLは,senderscore.orgで登録されている.

     XPRIOというのはメールヘッダのX-Priorityの事の様で,今回は3が設定されていました.暗黙値として3は「普通」なので,フィッシングメールの手口にありそうな「急がせるメールでは無い」と言えるでしょうが,X-Priorityをつけている時点で,昨今のメール事情,マナー的にはアヤシイと言えるってことかな.
  •  メルカリで5000円のポイントもらえるというフィッシングがあったけれど,今回は3000円.


     お決まりのURLは偽装.homelessと書いてある...偽装されたURLにアクセスするとびっくり!

    ...続きを読む

     cPanelというWebベースのサーバ管理ツールからのメールを偽装して,サイトの管理者向けに発信しているフィッシングメールがきました.ちなみにcPanelは使っていないサイト向けです.
    この件はGoogleのFirebaseを使ってセキュリティゲートウェイ製品をすり抜け,サイトの管理者をターゲットにしているということです.



    引用:
    You have some incoming messages that are placed on hold.

    Kindly RE-ACTIVATE your webmaster@ドメイン account below to access incoming messages.

    Activation expires after 2hours from 2/28/2022 6:48:46 a.m. and your domain ドメイン will be blocked


    受信したメッセージが保留になっているものがあります。

    受信メッセージにアクセスするには、以下の webmaster@ドメイン アカウントを再アクティブ化してください。

    有効期限は2/28 6:48:46 a.m.から2時間で、ドメインのドメインはブロックされます。


     今回宛先となったメアドは漏洩したものではなく,サイト運営者なら設置すべきかなと言われているwebmasterというメアド.postmasterとかmailer-daemonと同じ.ちなみに時間差でinfo宛にも同じ内容のフィッシングメールが来ていました.

     急がされているけれど,後回しにしていたのでメールが来てから10日くらい経っている・・・
     指定されたURLにアクセスすると次の様な警告が.

    ...続きを読む

     「三菱UFJ会社」っていう言い回しがそもそもどうなんだ?っていう.




     サイトの作りとしては出来損ないの部類.個人情報を入力後,本番サイトに転送されます.

    ...続きを読む

     Apple IDがロックされているというフィッシングメールが来た.

    ]

     24時間以内にアクセスしろと記載されているけれど,もう48時間以上経過したが,アクセスしてみた.
     「今すぐ確認」のボタンの色合いが,Appleが使っているテーマカラー,デザインでちょっと古いんだよね.その部分に違和感がある.送信者は古いmacOSを使っているのかな? いやMac OS X時代か.
    誘導先のURLにアクセスしてみるとこんな感じ.

    ...続きを読む

     VISAカードを騙るフィッシングメールが来て,まだサイトが稼働していたので確認してみた.
     


     メールアドレスは三井住友カードのVPassを名乗っているのに,三菱UFJのニコスのみと記載がしてあったり,クカードブランドは4種類あったり,カード番号はダイナースの番号でもOKだったりしました.
     生年月日も13月32日が通用するくらいのザルサイト.

    ...続きを読む

    Subject: Help Ukraine

    カテゴリ : 
    セキュリティ » スパム・フィッシング
    ブロガー : 
    ujpblog 2022/3/6 2:32
     うちのメールサーバには,存在したことがないメールアドレスにメールが来ることがあるのだけれど,user unknownのエラーメールを捕獲して転送して興味深く観察している.それらのアドレスに来るものは基本的にスパムメール.

     最近は,マイスペースやピーティックスで漏洩したメアドには,アマゾンやメルカリを騙るフィッシングメールが大量に来ているけれど,そのuser unknownになっているメアドにはあまりメール来ないなぁと思っていたら,今日,急に来始め,それがHelp Ukraine.


     ちなみにuser knownは10アカウントくらい持っているのでスパムキャンペーンが始まったという傾向がわかるという奇特な状態...

     本文はこんな感じ.

    ...続きを読む

     微妙に巧妙なフィッシングメール.
     「保留中のメッセージを回復するための通知」という件名と意味から,プロバイダが注意を出していることが多い模様.


     myspaceで流出したメールアドレスの,ドメイン部分を使って,supportのFQDNを生成していますが,実際には別のサイトへのリンク.uidの後ろには流出したメールアドレスが使われているので,このままアクセスするとそのメールが到達したことがアクセス先のログに残る事になる.

     よって,FQDN生成ルールに従って,あるのかどうか不明な警視庁のFQDNとメアドを作ってアクセスしてみた.

    ...続きを読む

     不自然すぎる漢字が使われている.
     


     「メールを受信したらすぐに关连情报を确认して制限を解除してください。」とあるけど「関連情報を確認」だそうです.

     情報確認するだけで「5000円の割引き」というのは,金額が多い.カードローンを組んでもらえるのは500円のクオカードなのに!
     50円とか50ポイントくらいなら信憑性が高くなると思うけど,日本人が5000円をどれくらいの価値観で捉えているのか解ってない人の犯行.


     mercari.jpで送信しているので,spf=hardfailでdmarc=failですね.あ,でもこれもクワラルンプールでドメインを取っているので手口が皆同じ.
     千葉銀行を騙るフィッシングメール.


     なんか文書が途中で切れてるなぁ.

     誘導先のサイトは既に404でした.そして千葉銀行の公式サイトに3月4日付で注意情報がでていますね.即日対応していると言うことは,優秀なSOCチームがあるということかな.

     それだけじゃ面白くないのだが,本文にあるナビダイヤルの06で始まる電話番号,「三井住友カード株式会社大阪本社/会員向け総合インフォメーション」の番号の模様.
     あとは,メールはspf=softfailと評価されていたこと.


     ちばカードローンに申し込むと,乃木坂46オリジナルQUOカードもらえるのか・・・利用開始後,即日解約しても貰えないみたいだ.

    引用:
    対象となるお客さま
    2022年6月30日(木)時点で「ちばぎんアプリ」をご利用中の方で、(1)(2)いずれかの条件を満たした個人のお客さまが対象となります。

    キャンペーン期間中に対象商品を新規にご契約し、契約日の属する月の翌月末にお借入残高のある方。
    キャンペーン期間中に対象商品をお申込みいただき、2022年6月30日(木)までに新規にご契約し、契約日の属する月の翌月末にお借入残高のある方。

    ちばぎんカードローン乃木坂46のオリジナルQUOカードプレゼントキャンペーン
    https://www.chibabank.co.jp/campaign/cardloan/
     ここ数日,えきねっとを騙るフィッシングメールがよく来ます.昨日,アクセスできたフィッシングサイトは,フィッシング協議会とGoogle Safe Browsingには報告したことが効いたのか夜には閉鎖されていました.

     今日はこのメール.


     アマゾンのフィッシングメールを転用したのがよくわかる点.騙しリンクにアクセスしてみると次の様なページが.

    ...続きを読む

     ちょっとわけあってスクショが暗いのだけれど.到着してホヤホヤで,まだフィッシングサイトが稼働していたので調査してみた.
     VirusTotalでは評価がまだなくて,なんとOWASP ZAPの分析を回避していますね.

     取り急ぎ,フィッシング協議会とGoogle Safe Browsingには報告しておいたけれど...

    ...続きを読む

     今朝一番で来ていたMyJCBのフィッシングメール.


     早速誘導先サイトにアクセスすると,まだロックアウトされてない状態.


     とりあえず適当にクレジットカード番号の様なものを入力しようとすると,ちゃんと画面上はエラーがでた.


     エラー警告は表示されるけれど,次の画面に遷移位できました.作りとしては幼稚.


     誘導された先のページもチェックは行われていて,こちらはログインIDの桁数があって,何か入力すると本物のサイトに誘導されました.

     ちょっとフィッシングサイトの検査をしていて,robots.txtが置いてあることに気づいたので,中身を見てみた.


     tool.chinaz[.]comというサイトを使って生成された様だけれど,なんのサイトなのかアクセスしてみると.


     アモイ・バイ・ユニオン・テクノロジーズ・リミテッド?(厦门总公司)という会社で,2005年創業のSEOや中国のニュースを伝えるネット企業の模様.robots.txt生成ツールを提供している様だが,正規のものでしょう.あやしい感じは無い.
     robots.txtのSitemap部分はデフォルトのままの様なので,よくわかってない技術力の高く無い人が設置したのだろうな.
     宛先の差し込みができてないフィッシングメールが増えていると思うけれど.



     今回の場合,SpamAssasinのスコアに注目.

    X-Spam-Status: Yes, 
    score=7.874 tagged_above=2 required=6
    tests=[HOSTED_IMG_DIRECT_MX=2.395, 🈁
    HTML_MESSAGE=0.001,
    HTML_TEXT_INVISIBLE_STYLE=2.917, 
    RCVD_IN_VALIDITY_RPBL=1.284,
    RDNS_NONE=1.274, 
    SPF_HELO_NONE=0.001, 
    SPF_NONE=0.001,
    T_REMOTE_IMAGE=0.01, 
    T_SCC_BODY_TEXT_LINE=-0.01, 
    URIBL_BLOCKED=0.001]
    

     このHOSTED_IMG_DIRECTというのは,大規模なCDNやeコマースサイトの画像ファイルへの直接リンクがあるという評価.
     該当のメールを,Thunderbirdで確認するとこの様に.

    ...続きを読む

     アマゾン,メルカリなどのサイトとJCB,三井住友のVISAあたりがフィッシングメールの四天王?だけれど,最近ペイデイが増えてきたね.


     誘導されるがまま,アクセスしてみているのだけれど,メール到着から時間が経っているというのもあり,ブラウザによっては到達できません.


     以外にも,これまでテイクダウンのスピードが速かったと思っていたMicrosoft Edgeより,SafariやFirefoxの方が対応が速かった.でもFirefoxはGoogle Safe Browsingを使っていると思うんだけど,まぁ違いがあるってことか.
    ペイデイを騙るフィッシングメールが.前回来た時には既にロックダウンされていたけれど,今現在は稼働中. 興味深く観察.



    ...続きを読む


    広告スペース
    Google