ブログ - スパム・フィッシングカテゴリのエントリ
【COVID-19】コロナ\x8C\x9D策、慈善寄付 という日本赤十字を騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/21 16:52
件名が文字化けしているのだけれど,「コロナ\x8C\x9D策」は「コロナ対策」かな? 「貝」(U+8C9D)なんだけど.
誘導先のURLは短縮URL業者を使っていて,既にテイクダウンされているので確認できず.
メールヘッダを確認すると,あちらこちらに中国産を名乗る証拠が多く残っていますね.
誘導先のURLは短縮URL業者を使っていて,既にテイクダウンされているので確認できず.
メールヘッダを確認すると,あちらこちらに中国産を名乗る証拠が多く残っていますね.
【セディナカード】ご登録お客様情報の定期的な確認のお願いにつきまして と言うフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/21 14:52
広範囲に配布されていそうなSMBCのセディナカードを騙るフィッシングメール.
CloudFlareのCDNを使っているのはこれまでにもあったけれど,SSL証明書を Google Trust Servicesで取得しているのは初めてみたかな.
メールのドメインがおかしい.
CloudFlareのCDNを使っているのはこれまでにもあったけれど,SSL証明書を Google Trust Servicesで取得しているのは初めてみたかな.
メールのドメインがおかしい.
残念.e-Tax,やってねンだわw
今年の8月にも「【督促状】滞納した税金がございます。 」ってメール来たけどな.
9月17日の土曜日中に支払って言うのもちょっとなぁ...メールのフッタに法人番号が書かれていたので,ちょっと調べてみた.
今年の8月にも「【督促状】滞納した税金がございます。 」ってメール来たけどな.
9月17日の土曜日中に支払って言うのもちょっとなぁ...メールのフッタに法人番号が書かれていたので,ちょっと調べてみた.
PayPay銀行を騙るフィッシングメールなのだけれど,メールアドレスにジャパンネット銀行の名残があって.
引用: なんかちょっと文章がおかしい.
アクセスすると,既にSmart Screenでは危険対象になっています.画面は典型的な感じかな.
引用:
こんにちは、お客様の口座が異常のため、お客様の口座に振り込む際に、入金することが完了できません、。
ご振込み金額は一応こちらで預かりますので、下記リンクから制限を解除してください。
ご本人確認の上、paypay銀行から送金頂きます。
アクセスすると,既にSmart Screenでは危険対象になっています.画面は典型的な感じかな.
Incoming voicemail: 6:09 というWhatsAppを騙る迷惑メール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/19 14:26
使ってもないWhatsAppについてヴォイスメッセージが届いていると通知がありました.
通知があったのは,2013年に漏洩したAdobeのアカウント.
今回の調査では,ドイツ,フランス,韓国と複数のインターネット事業者サービスを使っているという特徴があります.
メール送信者のhtp-tel.deというドメインに心当たりがないので調べると,ドイツのハノーファーにあるインターネット事業者の模様.
まずはメールヘッダの確認から.
通知があったのは,2013年に漏洩したAdobeのアカウント.
今回の調査では,ドイツ,フランス,韓国と複数のインターネット事業者サービスを使っているという特徴があります.
メール送信者のhtp-tel.deというドメインに心当たりがないので調べると,ドイツのハノーファーにあるインターネット事業者の模様.
まずはメールヘッダの確認から.
代表メールアドレスにこのようなメールが届きました.
日本語訳はDeepLを経由してつけました.
引用:
ブラジルに住んでいる死にかけの癌患者が財産を私に寄付してくれるそうです.誘導先のURLもなくて,指示によればメールを返信してコンタクトするタイプ.
メールヘッダを確認してみます.
ブラジル人を名乗る人はドイツのサーバをgmailと偽ってカナダの仮想通貨購入・販売サイトへ誘導しようとしています.
このままメールを返信するとReply-Toの宛先に行くので,意味があるのかどうか...
送信サーバのIPアドレスの評判を確認してみました.
お行儀は良くありませんでした.
日本語訳はDeepLを経由してつけました.
引用:
Good day and God's blessings to you.
My name is Afonso, a dying cancer patient living in Brazil. I am
making this solemn contact to seek your consent in donating my
multi-million US Dollar fortune to you so that you can help
channel it towards charitable courses. Please reply for further
briefing if willing and capable of the task ahead. Do note that
you would be rewarded handsomely for your assistance.
Thanks and God bless.
Afonso.
ごきげんよう、神様のご加護がありますように。
私の名前はアフォンソ、ブラジルに住んでいる死にかけの癌患者です。この度
私の数億ドルの財産を寄付することに同意していただきたく、ここにご連絡いたしました。
私の数百万ドルの財産をあなたに寄付することに同意して頂きたいのです。
寄付させていただきたいと思います。もし、そのようなことができるのであれば、さらに詳しい説明のために返信してください。
もし、この先の仕事に意欲と能力があるのなら、詳しい説明を受けるために返信してください。なお
あなたの援助には十分な報酬が支払われます。
ありがとう、そして神のご加護を。
アフォンソ
ブラジルに住んでいる死にかけの癌患者が財産を私に寄付してくれるそうです.誘導先のURLもなくて,指示によればメールを返信してコンタクトするタイプ.
メールヘッダを確認してみます.
ブラジル人を名乗る人はドイツのサーバをgmailと偽ってカナダの仮想通貨購入・販売サイトへ誘導しようとしています.
このままメールを返信するとReply-Toの宛先に行くので,意味があるのかどうか...
送信サーバのIPアドレスの評判を確認してみました.
お行儀は良くありませんでした.
<みずほ銀行からのご連絡>お客様の口座に違法なマネーロンダリングが疑われるのお知らせ というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/9 18:29
またまた新しい形のフィッシングメールが来ているのだけれど,今回もみずほ銀行を騙っています.マネーロンダリングが疑われているそうで.
今回はランディングページを怪しくなさそうなドメインにしてDigiCertの証明書を使っていたりIIS8.5のサーバを使っていたり,上海,台湾,日本のインターネット環境を使っている点が特徴ですかね.
メール本文を見ると,誘導先のURLとリンク先のURLが異なっているし,アクセス用の推奨環境でサポート終了したInternet Explorerが記載されていることやAndroid 4.0とかiOS6だなんてもう10年くらい前のものを要求している模様.
今回はランディングページを怪しくなさそうなドメインにしてDigiCertの証明書を使っていたりIIS8.5のサーバを使っていたり,上海,台湾,日本のインターネット環境を使っている点が特徴ですかね.
メール本文を見ると,誘導先のURLとリンク先のURLが異なっているし,アクセス用の推奨環境でサポート終了したInternet Explorerが記載されていることやAndroid 4.0とかiOS6だなんてもう10年くらい前のものを要求している模様.
みずほ銀行を騙るフィッシングメールが来た.振り込み失敗,という本文は珍しいので調べてみた.
URLはスペル誤認,なんとフィッシングについての注意喚起も記載してある.
ヘッダ部分に日時を自動設定するためのタグが残っている模様.これは中国からのフィッシングメールに多い特徴だが,置き換え失敗している.
メールヘッダを確認.
URLはスペル誤認,なんとフィッシングについての注意喚起も記載してある.
ヘッダ部分に日時を自動設定するためのタグが残っている模様.これは中国からのフィッシングメールに多い特徴だが,置き換え失敗している.
メールヘッダを確認.
謎のURLだけ書かれたメールが来た.
メールヘッダを見ると色々なメールゲートウェイでスパムと判定されている不審なメール.
URLはGoogleのCloud Storageのドメインなので,HTMLが何をしているのか確認.
メールヘッダを見ると色々なメールゲートウェイでスパムと判定されている不審なメール.
URLはGoogleのCloud Storageのドメインなので,HTMLが何をしているのか確認.
Broken messages has been foundというGoogle Notificationを騙る不審なメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/8 1:54
Actie vereist: uw mailbox staat op het punt vol te raken. というwhoisプロテクションからの転送メール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/6 2:27
お名前.comのWhois情報公開代行サービスというのを使っているのだけれど,管理しているドメインへの連絡先も代行で受けてくれて転送されてくることになっています.
そして今回初めて転送されてきたのがこのメール.
何書いてあるかわからんので,DeepLで翻訳.
引用: ドイツ語なのね.誘導先のFQDNはchina-in-europe.netとなっているけれど,このindexx.htmlとドメインのパラメータがついたURLにアクセスしてみた.
毎度のことながら,Microsoft Defender SmartScreenだとこの画面が出ますね.Google ChromeやFirefoxだと警告なく普通にアクセスできてしまいます.
警告を無視して構わずアクセスすると,こんなページに.
トップページにアクセスするとこんな感じ.
そして今回初めて転送されてきたのがこのメール.
何書いてあるかわからんので,DeepLで翻訳.
引用:
Actie vereist: uw mailbox staat op het punt vol te raken.
(3) eingehende E-Mails konnten nicht zugestellt werden.
Bitte gehen Sie zum Nachrichtencenter, um fehlgeschlagene Nachrichten abzurufen.
メールボックスが空いたままになっています。
(3) 受信したメールが届かなかった。
失敗したメッセージは、メッセージセンターで取り出してください。
毎度のことながら,Microsoft Defender SmartScreenだとこの画面が出ますね.Google ChromeやFirefoxだと警告なく普通にアクセスできてしまいます.
警告を無視して構わずアクセスすると,こんなページに.
トップページにアクセスするとこんな感じ.
お客様のカードに問題があることが判明しました ! というイオンカードを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/9/1 12:28
生活圏にないのでイオンカードは持った事がないのだけれど熱心に送ってきますね.やはり利用者が多いのかな.
今回はこのタイプ.
このメールに違和感があるのは,本文がこの文章を表示している画像1つだけということ.
メールヘッダを確認.
今回はこのタイプ.
このメールに違和感があるのは,本文がこの文章を表示している画像1つだけということ.
メールヘッダを確認.
【重要なお知らせ】えきねっとアカウントのロックを解除、情報を更新してください。というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/29 15:16
えきねっとを騙るフィッシングメールも多数来るけれど,以前確認したこれとかこれはうまく調査できなかったのだけれど,今回はチェックできました.
クレジットカード番号を入力したらエラーになったのは今回が初めてかな.これ,毎回オーソリー処理がかかっていたら,このフィッシングサイト運営組織は支払い費用だけで大変なことになりそう...
まずは到着したメール.
誘導先のFQDNを確認したらこんな感じ.
whoisすると意外な?
取得してから1週間.
BRドメイン株式会社という会社がレジストラで,京都にある模様.でも中国事業をやっている感じ?
「中国プロモーション」というリンクを踏んでみたけれど,この感じ.
クレジットカード番号を入力したらエラーになったのは今回が初めてかな.これ,毎回オーソリー処理がかかっていたら,このフィッシングサイト運営組織は支払い費用だけで大変なことになりそう...
まずは到着したメール.
誘導先のFQDNを確認したらこんな感じ.
whoisすると意外な?
Domain Name: ISOO1.COM
Registry Domain ID: 2719938433_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namegear.co
Registrar URL: http://www.brdomain.jp
Updated Date: 2022-08-22T14:35:06Z
Creation Date: 2022-08-22T14:27:45Z 🈁
Registry Expiry Date: 2023-08-22T14:27:45Z
Registrar: BR domain Inc. dba namegear.co
Registrar IANA ID: 1898
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: A.DNSPOD.COM
Name Server: B.DNSPOD.COM
Name Server: C.DNSPOD.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2022-08-29T05:44:46Z <<<
BRドメイン株式会社という会社がレジストラで,京都にある模様.でも中国事業をやっている感じ?
「中国プロモーション」というリンクを踏んでみたけれど,この感じ.
インスタグラムやTikTokでいいねしてくれる方を募集しています という迷惑メッセージ
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/27 0:37
iPhoneにこんなiMessageが.
iMessageが来るということは,iCloudのアカウントがばれていると言う事? よくわからないけれどサクラのアルバイト模様.内容に興味もないし分析もできないのだけれど,「迷惑メッセージを報告」することができるのでやってみた.
このボタンを押したら,とりあえず自分のメッセージ一覧からこの迷惑メッセージは消えただけですが...
調べると公式サイトに説明がありました.
iPhoneでメッセージを拒否する/フィルタする/報告する
https://support.apple.com/ja-jp/guide/iphone/iph203ab0be4/ios
引用: 止めることができないのなら,また来るのかもね.
iMessageが来るということは,iCloudのアカウントがばれていると言う事? よくわからないけれどサクラのアルバイト模様.内容に興味もないし分析もできないのだけれど,「迷惑メッセージを報告」することができるのでやってみた.
このボタンを押したら,とりあえず自分のメッセージ一覧からこの迷惑メッセージは消えただけですが...
調べると公式サイトに説明がありました.
iPhoneでメッセージを拒否する/フィルタする/報告する
https://support.apple.com/ja-jp/guide/iphone/iph203ab0be4/ios
引用:
送信者の情報とメッセージがAppleに送信され、そのメッセージはデバイスから完全に削除されます。
注記: 迷惑メッセージを報告しても、その送信者からのメッセージ送信を止めることはできませんが、その番号からの受信を拒否して受け取らないようにすることはできます。
お客様が不在の為お荷物を持ち帰りました。こちらにてご確認ください というSMSのURLがUnicodeだった件 その2
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/26 16:09
タイムラインを見る という 出会い系サイト デートマッチ から来た詐欺メールを調べる
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/26 15:28
ドコモのキャリアメールへ,次のようなメッセージが.
いきなり来てマッチングした相手がいますだなんて.
メールヘッダを見てみたけれど,KDDI回線を使っている様で,au.comのメールサーバを使っていることから,正規のキャリアメールアドレスを使っている模様.auからdocomoのサーバなのでチェックが甘かったのかな.
アクセスするとこんな感じ.
今時のポーズで,ひなのちゃん登場.(寝違えて首を痛めた?)
いきなり来てマッチングした相手がいますだなんて.
メールヘッダを見てみたけれど,KDDI回線を使っている様で,au.comのメールサーバを使っていることから,正規のキャリアメールアドレスを使っている模様.auからdocomoのサーバなのでチェックが甘かったのかな.
アクセスするとこんな感じ.
今時のポーズで,ひなのちゃん登場.(寝違えて首を痛めた?)
正式サイトの古いお知らせをフィッシングメール本文に貼り付けていたけれど,今度は反省した?のか,本文のお知らせ内容が最新に更新されたフィッシングメールが到着しました.
誘導先のサイトは既にMicrosoft Defender SmartScreenでは安全でないサイトと表示されるのでMicrosoft Edgeだとブロックされますが,現時点ではGoogle ChromeやApple Safariではアクセスできますね.
誘導先のサイトは既にMicrosoft Defender SmartScreenでは安全でないサイトと表示されるのでMicrosoft Edgeだとブロックされますが,現時点ではGoogle ChromeやApple Safariではアクセスできますね.
NHKアップグレードじゃないメールが来ていたので.
引用: 本文を見ると,なんだかNHKを取り巻く放送受信契約について熟知している感じがありますね.そして最後は強迫のような文面でフィッシングサイトへ誘導.
でも送信者のメアドはイオンを騙っていますね.道具立ては全て中国産でした.
引用:
【 NHK】利用いただき、ありがとうございます。
放送受信契約の未契約世帯への訴訟予告通知の発送について。
NHKでは、テレビ受信機を設置しているにもかかわらず、
放送受信契約を結んでいただけない世帯や事業所に対し、
公共放送の役割や受信料制度の意義などについて誠心誠意説明を行っていますが、
それでもなおご契約いただけない場合、受信料の公平負担を徹底する観点から
民事訴訟を提起することとしています。
重要なお知らせとなりますので下記をご確認お願い致します。
でも送信者のメアドはイオンを騙っていますね.道具立ては全て中国産でした.
うちにも届いていました.
誘導先のFQDNは既に閉鎖済み.
このフィッシングメールは,河野太郎デジタル担当相のツイートで先に知っていました.
というかフィッシングメールの数も多いのでちょっと負担が大きいなぁ.
誘導先のFQDNは既に閉鎖済み.
このフィッシングメールは,河野太郎デジタル担当相のツイートで先に知っていました.
というかフィッシングメールの数も多いのでちょっと負担が大きいなぁ.
ETCを騙るフィッシングメールも定番になりつつあるけれど,ちょっと文面が異なるものがあったのでよく観察してみた.
重要なお知らせの日付の曜日が違っているので,古いコンテンツの再利用かな.日付だけ変えて.
次にメールヘッダを確認.
ロシアのIPアドレスでアリババ利用なのでもう真っ赤って感じ.ちなみに誘導先のFQDNもこのshopのサイトも既に閉鎖されていました.
重要なお知らせの日付の曜日が違っているので,古いコンテンツの再利用かな.日付だけ変えて.
次にメールヘッダを確認.
ロシアのIPアドレスでアリババ利用なのでもう真っ赤って感じ.ちなみに誘導先のFQDNもこのshopのサイトも既に閉鎖されていました.
このセクストーションメールがたくさんきていますね.今のところうちには59件.
引用:
送金先のビットコインのアドレス,うちに来ているのはこの2つ.
https://www.blockchain.com/btc/address/1BGPWdGfXQN7YE9TStuHDoKvJMxkCvrJnz
https://www.blockchain.com/btc/address/1F4pZGFU3iY5zYpC12JvvFS5Wi6sXZmbpD
今日現在は,誰も送金してないようだけれど,2週間後くらいに再度見ると1トランザクションくらい動きがありますね.
メールヘッダを検証してみます.
まずは送信者を示すFromヘッダを抽出.
引用:
こんにちは!
恐縮ながら、悲しいニュースをお伝えします。
約1、2ヶ月前に、あなたがネットの閲覧にお使いのデバイス全てに対する、完全なアクセスの獲得に私は成功しました。
獲得してからは、継続的にあなたのインターネット活動を観察し始めたのです。
送金先のビットコインのアドレス,うちに来ているのはこの2つ.
https://www.blockchain.com/btc/address/1BGPWdGfXQN7YE9TStuHDoKvJMxkCvrJnz
https://www.blockchain.com/btc/address/1F4pZGFU3iY5zYpC12JvvFS5Wi6sXZmbpD
今日現在は,誰も送金してないようだけれど,2週間後くらいに再度見ると1トランザクションくらい動きがありますね.
メールヘッダを検証してみます.
まずは送信者を示すFromヘッダを抽出.
久々のセクストーションメール.全く同じ内容のものがうちに来たのは3月11日なのでちょうどいい5ヶ月?
引用:
今回のビットコインアドレスはこちら.
12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
https://www.blockchain.com/btc/address/12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
今回気づいたのは,X-Mailerにバリエーションがあったこと.
送信メールサーバは台湾とかブラジルとかの固定回線が使われているので,乗っ取られたPCで送信されているのでは?と考えています.
引用:
それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
私の正確なスキルを必要とする複雑なソフトウェア。
今回のビットコインアドレスはこちら.
12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
https://www.blockchain.com/btc/address/12GUQuJTABbSpy46gk2aB3DubdLqqtJUpu
今回気づいたのは,X-Mailerにバリエーションがあったこと.
Microsoft Office Outlook 12.0
Microsoft Outlook 14.0
Microsoft Outlook 15.0
Microsoft Outlook Express 6.00.2800.1106
Microsoft Windows Live Mail 16.4.3505.912
Microsoft Windows Live Mail 15.4.3508.1109
Hytbqaa yresp
Xtwelwlf srhafa 7.2
Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.20) Gecko/20110805 Thunderbird/3.1.12
Pegasus Mail for Windows (4.61)
よくあるタイプなんだけれど,誘導先のFQDNがまだ活性化されていたのと,ログインの際に絵あわせ(CAPY)が用意されていた点が特徴的かな.
米国の固定回線なのにロケーションが沖縄と言い張る.もしかして沖縄の米軍基地の中とか?
ログイン画面がこれ.
米国の固定回線なのにロケーションが沖縄と言い張る.もしかして沖縄の米軍基地の中とか?
ログイン画面がこれ.
こんんあSMSメッセージが.
興味深いのは,このメッセージが着信した電話番号は,auからMNPした回線のものなので,KDDIからメッセージが来ていても違和感がないのかもしれない.
ちなみにリンク先のCuttlyのサイトでは404エラーになっていました.
興味深いのは,このメッセージが着信した電話番号は,auからMNPした回線のものなので,KDDIからメッセージが来ていても違和感がないのかもしれない.
ちなみにリンク先のCuttlyのサイトでは404エラーになっていました.
【重要なお知らせ】au PAY マーケット ご利用確認のお願い というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/3 11:10
au PAY マーケットなるサービスを騙るフィッシングメールが到着.メールが来てから4日も経過していたけれど,まだフィッシングサイトはテイクダウンされていませんでした.
まだMicrosoft EdgeとGoogle Chromeでアクセスできたので,フィッシング審議協議会にも通報しておきましたが...
まだMicrosoft EdgeとGoogle Chromeでアクセスできたので,フィッシング審議協議会にも通報しておきましたが...
メールの見た目は6月に来たフィッシングメールに近いけれど今回はサイトがテイクダウンされていなかったので興味深く確認してみました.
まず,フィッシングメール.
リンク先のURLが既に怪しいのだけれど,アクセスしてみる.
誘導先のURLから本物のフィッシングサイトに転送されています.
転送前のFQDNはtight-pond-54f1.28kgwe168834.workers.devでCloudFlareでホスティングされています.
まず,フィッシングメール.
リンク先のURLが既に怪しいのだけれど,アクセスしてみる.
誘導先のURLから本物のフィッシングサイトに転送されています.
転送前のFQDNはtight-pond-54f1.28kgwe168834.workers.devでCloudFlareでホスティングされています.
【東京電カエナジーパートナー】情報更新のお知らせ #758103 というフッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/28 1:17
フィッシングメール上だと「東京電カエナジーパートナー」だと言っているけれど,誘導先のサイトは「東北電力フロンティア」だったりする.
件名にも本文にも東京電力だと記載があるのに,メールフッタやリンク先が東北電力.
件名にも本文にも東京電力だと記載があるのに,メールフッタやリンク先が東北電力.
告知: 重要な機会のガイダンス というGMO インターネットのWEBメールを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/27 17:14
あまり見ないタイプのフィッシングメールが来た.
モザイクで伏せてある部分は,とあるドメインになるもので,件名,本文,メアド,誘導先のリンクにたくさん埋め込まれています.
どこから送ってきたのか調べる為にメールヘッダを確認してみました.
モザイクで伏せてある部分は,とあるドメインになるもので,件名,本文,メアド,誘導先のリンクにたくさん埋め込まれています.
どこから送ってきたのか調べる為にメールヘッダを確認してみました.
アマゾンの規約に違反したため、アカウントがロックされました! というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/22 2:28
お客様が不在の為お荷物を持ち帰りました。こちらにてご確認ください というSMSのURLがUnicodeだった件
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/14 17:07
貴方の名前で未払いがあります。出来るだけすぐに借金を清算してください。 というセクストーションメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/12 1:49
ちょっと今日は出かけていたのだけれど,帰ってこたらこんなメールが73通も同内容のセクストーションメールが来ていました.そういうキャンペーンの模様.月曜日だし?
今回は日本語版と英語版の入手ができたので,ちょっとみてみました.
引用: 今回は,過去にメールアドレスが漏洩したもの,サイト用にデフォルトで用意されるべきメールアドレス(infoとか),何だか不明な存在したことがないメールアドレス(エラーメールをサルベージしてる),ブログにあえて記載したクローリングされるであろうメールアドレス,それら全てに送信してきているようです.
また,docomo.ne.jp で作っている短い文字数のメアドにも来ていました.ドコモの迷惑メール対策を突破しているということですね.
引用:
今日現在の22万円相当のビットコイン価格を調べてみた.
今回は日本語版と英語版の入手ができたので,ちょっとみてみました.
引用:
こんにちは!
悲しいことに、今から残念な話をお伝えします。
ネット閲覧に利用されている全デバイスへの完全なアクセス権を数ヶ月前に、私は獲得しました。
そのすぐ後に、貴方がとった全てのネット上の活動記録をつけ始めています。
また,docomo.ne.jp で作っている短い文字数のメアドにも来ていました.ドコモの迷惑メール対策を突破しているということですね.
引用:
私のウォレットに ¥220000 (送金時の為替レートで、¥220000 相当のビットコイン)を送金してくれれば、お金の受け取りが終わるとすぐに、貴方が登場する全てのイヤラシイ動画は削除します。
今日現在の22万円相当のビットコイン価格を調べてみた.
【重要】アカウントは48時間後に自動的に削除されます。AMAZONをご利用いただきありがとうございます。メール番号:84488581 というフィッシングメールはGoogle翻訳を
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/10 1:51
最近ちょっと流行りの傾向.
フィッシングサイトへの誘導のURLに,Google翻訳を付けている.これはセキュリティゲートウェイ対策だと思われる.
メールヘッダを見てみる.
alexusMailerを使っているのと,Google翻訳を使っているのを考えると,以前調べたAMEXを騙る手口と同じもののよう.前回のAMEXのものとヘッダを見比べると,残っている情報の類似点が多い.
フィッシングサイトへの誘導のURLに,Google翻訳を付けている.これはセキュリティゲートウェイ対策だと思われる.
メールヘッダを見てみる.
alexusMailerを使っているのと,Google翻訳を使っているのを考えると,以前調べたAMEXを騙る手口と同じもののよう.前回のAMEXのものとヘッダを見比べると,残っている情報の類似点が多い.
三越伊勢丹WEBを騙るフィッシングメール.まだサイトがテイクダウンされてなかったので,アクセスしてみた.
メールはこんな感じ.
アクセスすると新規会員にもなれるっぽい?
ランダムなメールアドレスとパスワードでログインしてみる.
SSL証明書は,Let's Encryptだった.
クレジットカード番号などを適当に入れてみるも・・・
お客様番号エラーとしてこれ以上先にいけなかった.お客様番号のチェックをしている風だが桁数チェックだけ.
入力が終わると,正しいストアに転送されて終了.
メールヘッダを確認すると...
そもそも,差出人がアマゾンを語っているし,いつものChina Unicomだし.Foxmailだし.
メールはこんな感じ.
アクセスすると新規会員にもなれるっぽい?
ランダムなメールアドレスとパスワードでログインしてみる.
SSL証明書は,Let's Encryptだった.
クレジットカード番号などを適当に入れてみるも・・・
お客様番号エラーとしてこれ以上先にいけなかった.お客様番号のチェックをしている風だが桁数チェックだけ.
入力が終わると,正しいストアに転送されて終了.
メールヘッダを確認すると...
そもそも,差出人がアマゾンを語っているし,いつものChina Unicomだし.Foxmailだし.
あなたのアカウントは停止されました、情報を更新してください のフィッシングメールが流行り その2
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/7 15:26
今年の2月に大量に来ていたアマゾンを騙るフィッシングメールですが,また大量に来ています.
テレビCMをよくやっているけれど,年に一度のアマゾンプライムデーが7月12日から開催されるから,それに合わせてということだろうか.というかAmazonのセールってなんか毎月何らかのものをやっているような?
取り急ぎ手元にある11通をみてみたら,誘導先のURLは次の3つでした.
https[:]//www.elektro-stoeckl.com/
https[:]//www.kvp-consulting.com/
https[:]//www.0bmexico.com/
3つともすでにテイクダウンされているのでサイトは確認できませんでした.
IPアドレスは1つだけ汚れているのがありましたけれど,一旦全部報告しておきました.
https[:]//www.abuseipdb.com/check/116.138.210.116
https[:]//www.abuseipdb.com/check/175.148.74.54
https[:]//www.abuseipdb.com/check/175.148.74.136
https[:]//www.abuseipdb.com/check/175.173.181.225
https[:]//www.abuseipdb.com/check/175.165.128.140
https[:]//www.abuseipdb.com/check/175.173.182.253
https[:]//www.abuseipdb.com/check/59.58.104.129
https[:]//www.abuseipdb.com/check/42.55.252.135
https[:]//www.abuseipdb.com/check/42.59.84.18
https[:]//www.abuseipdb.com/check/123.188.37.222
基本的にはChina Unicomというプロバイダ.
使い回し感はあるし,そもそも同じメアドに何通もくるので,何度か収集したメアドリストを使って,それを名寄せ(uniq)してないのだろうなと推測.
テレビCMをよくやっているけれど,年に一度のアマゾンプライムデーが7月12日から開催されるから,それに合わせてということだろうか.というかAmazonのセールってなんか毎月何らかのものをやっているような?
取り急ぎ手元にある11通をみてみたら,誘導先のURLは次の3つでした.
https[:]//www.elektro-stoeckl.com/
https[:]//www.kvp-consulting.com/
https[:]//www.0bmexico.com/
3つともすでにテイクダウンされているのでサイトは確認できませんでした.
IPアドレスは1つだけ汚れているのがありましたけれど,一旦全部報告しておきました.
https[:]//www.abuseipdb.com/check/116.138.210.116
https[:]//www.abuseipdb.com/check/175.148.74.54
https[:]//www.abuseipdb.com/check/175.148.74.136
https[:]//www.abuseipdb.com/check/175.173.181.225
https[:]//www.abuseipdb.com/check/175.165.128.140
https[:]//www.abuseipdb.com/check/175.173.182.253
https[:]//www.abuseipdb.com/check/59.58.104.129
https[:]//www.abuseipdb.com/check/42.55.252.135
https[:]//www.abuseipdb.com/check/42.59.84.18
https[:]//www.abuseipdb.com/check/123.188.37.222
基本的にはChina Unicomというプロバイダ.
使い回し感はあるし,そもそも同じメアドに何通もくるので,何度か収集したメアドリストを使って,それを名寄せ(uniq)してないのだろうなと推測.
これも珍しくないタイプのフィッシングメール.
クレジットカード番号を入力させて,最後は本物のサイトに飛んで終わり.ただ,各入力項目のチェック精度が悪いので品質の低いサイト.
こんなメール.ユニークIDっぽいのが2つついているので,私が特定されないように削ってアクセス.
クレジットカード番号を入力させて,最後は本物のサイトに飛んで終わり.ただ,各入力項目のチェック精度が悪いので品質の低いサイト.
こんなメール.ユニークIDっぽいのが2つついているので,私が特定されないように削ってアクセス.
Personal Voicemessage というWhatsAppを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/1 17:26
20年以上使っているhotmailのメールアドレスに来たフィッシングメール.
フェイスブックが買収して,現在利用者は20億人を超えたメッセージングサービス.御多分に洩れず私は使ってない・・・
メッセージはhotmailに届いているけれど,メーラーとしてはApple Mailで受け取っています.受け取っている時点で,Playと書いてあるメッセージのリンクが,safelinks,protection.outlook.com経由になっていますね.
実際にはvantiburgict.nlにリンクが飛ぶようです.
強気にこれをクリックしてみます.
フェイスブックが買収して,現在利用者は20億人を超えたメッセージングサービス.御多分に洩れず私は使ってない・・・
メッセージはhotmailに届いているけれど,メーラーとしてはApple Mailで受け取っています.受け取っている時点で,Playと書いてあるメッセージのリンクが,safelinks,protection.outlook.com経由になっていますね.
実際にはvantiburgict.nlにリンクが飛ぶようです.
強気にこれをクリックしてみます.
これまでウチでは見かけないタイプのAmazonを騙るフィッシングメール.
誘導先はすでにテイクダウンされていたので解析はできませんでした.
仕方ないのでメールヘッダを確認.
香港のサーバからNTTPCコミュニケーションズのWebARENAが用意しているVPSを経由しているように見えるけれど,偽装かもしれないとのこと.
X-MailerもLffvmk 0というものなので,そういうパターンとしては他のフィッシングメールでよく見るものと同等かな.
誘導先はすでにテイクダウンされていたので解析はできませんでした.
仕方ないのでメールヘッダを確認.
香港のサーバからNTTPCコミュニケーションズのWebARENAが用意しているVPSを経由しているように見えるけれど,偽装かもしれないとのこと.
X-MailerもLffvmk 0というものなので,そういうパターンとしては他のフィッシングメールでよく見るものと同等かな.
ETCが異常に2回使用されました。(ETC利用照会サービス) というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/30 8:31
最近は文面にちょっと手の込んだ感じになっているものが増えてきた気がする.
これなんか,北海道の道央自動車道を使った翌日に,第三京浜を通過しているので,インポッシブルトラベルとまでは言えないが,ちょっと遠い.(あるいは重労働)
誘導先のURLにアクセスすると既にテイクダウンされていました.
最近このlocalhost向けに変更されていることが多いのだけれど,これはDNS制御なのかな?
これなんか,北海道の道央自動車道を使った翌日に,第三京浜を通過しているので,インポッシブルトラベルとまでは言えないが,ちょっと遠い.(あるいは重労働)
誘導先のURLにアクセスすると既にテイクダウンされていました.
最近このlocalhost向けに変更されていることが多いのだけれど,これはDNS制御なのかな?
市場最低価格 代引き スーパーコピー ブランド 専門店 という詐欺メールのURLをWarpDriveをつこてみた
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/30 8:14
これも既にテイクダウンされているのだけれど,しつこくフィッシングメールがきますね.
うちに到着した実績からすると,ばらまきの範囲としては広範囲の模様.
メールの本文とのバランスでは違和感がとてもあるイオンのロゴ.調べ方が悪いかもしれないけれど,ちょっと古いキャンペーンのようですが,ソースコードを見ると一応イオンの公式サイトから素材を持ってきていました.
そしてソースを見ていると何か不思議な隠し文字があることを発見.
うちに到着した実績からすると,ばらまきの範囲としては広範囲の模様.
メールの本文とのバランスでは違和感がとてもあるイオンのロゴ.調べ方が悪いかもしれないけれど,ちょっと古いキャンペーンのようですが,ソースコードを見ると一応イオンの公式サイトから素材を持ってきていました.
そしてソースを見ていると何か不思議な隠し文字があることを発見.
【最終警告】:Amazonお客様のプライム 会員資格がキャンセルされます というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/22 1:08
ピーティックスで漏洩してメアドにアマゾンを騙るフィッシングメールが来たのだけれど,こいつがどうもおかしい.
どうおかしいかというとSpamAssasinで判定されてないのです.なぜだろう.
メール本文を見ると不自然なものが無い.
メールヘッダを見ると色々とわかってくる.
メールはK&Kコーポレーションという尼崎にあるプロバイダが発行元になっているけれど,ODNのゲートウェイを二つ通過して送信されている模様.その間に入っているウイルス検知ゲートウェイでは怪しいと判定されてない.
ちなみにODNのIPアドレスの汚れ具合を見ると,結構悪い感じだった.
どうおかしいかというとSpamAssasinで判定されてないのです.なぜだろう.
メール本文を見ると不自然なものが無い.
メールヘッダを見ると色々とわかってくる.
メールはK&Kコーポレーションという尼崎にあるプロバイダが発行元になっているけれど,ODNのゲートウェイを二つ通過して送信されている模様.その間に入っているウイルス検知ゲートウェイでは怪しいと判定されてない.
ちなみにODNのIPアドレスの汚れ具合を見ると,結構悪い感じだった.
Evernoteを騙るフィッシングメールなのだけれど.
誘導先URLにアクセスすると既に本物に転送されるようになっていました.最近,この手法で対応されているものが多い. DNS世界の神の仕業というか.
誘導先URLにアクセスすると既に本物に転送されるようになっていました.最近,この手法で対応されているものが多い. DNS世界の神の仕業というか.
Amazon.co.jpの注文番号249-0545162-1436634 という太和田誠宛のフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/21 1:38
この誰だかわからない受取人が設定されているパターンって,最近流行りなんですかね.
他人宛の荷物を受け取っちゃおうという心理的な弱点を狙っているとかなのかな.ちなみに誘導先のURLはいつも閉鎖済み.
日本郵便の伝票番号を検索してみると・・・
他人宛の荷物を受け取っちゃおうという心理的な弱点を狙っているとかなのかな.ちなみに誘導先のURLはいつも閉鎖済み.
日本郵便の伝票番号を検索してみると・・・
【Amazon】重要なお知らせはタイムリーに処理してください というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/18 16:52
「タイムリーに処理してください」だなんて上から目線.犯人が使う言葉を翻訳ソフトにかけたらそういう命令口調になるのでしょう.そうなるとどこの国なのか・・・
既に誘導先FQDNは閉鎖済みでした.
記載のある住所をストリートビューで見てみるとこんな感じ.
集合住宅か.部屋番号までは記載がなかったので本当の住所かどうかは不明.
メールヘッダを確認してみる.
既に誘導先FQDNは閉鎖済みでした.
記載のある住所をストリートビューで見てみるとこんな感じ.
集合住宅か.部屋番号までは記載がなかったので本当の住所かどうかは不明.
メールヘッダを確認してみる.
【American Expressカード】ご利用確認してください。メール番号: というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/15 20:06
アメックスを騙るフィッシングメール.
メール番号というのが件名と本文内にあるのだけれど,一致しない.ちなみにカミさんにも届いていて,そちらの番号とも違う.
誘導先のURLがGoogle翻訳経由のようになっている.これは何かセキュリティフィルタを越えるための工夫なのか?
誘導先のFQDNにアクセスしてみる.
メール番号というのが件名と本文内にあるのだけれど,一致しない.ちなみにカミさんにも届いていて,そちらの番号とも違う.
誘導先のURLがGoogle翻訳経由のようになっている.これは何かセキュリティフィルタを越えるための工夫なのか?
誘導先のFQDNにアクセスしてみる.
新しいデバイスからアマゾンにログインしたと連絡が来た.
アマゾンのアカウント持ってないけどな,というのは置いといてアクセスしてみたら既に対策されていて本物のサイトに転送されるようになっていた.
VTで確認すると,そんなに酷いスコアではないが,Google Safebrowsingがフィッシングと判断しているから,精度は高いと判断されたのでしょう.
今回気になったのは迷惑メールフラグがつかなかったこと.
ちゃんとしてクラウドサービスを使っているので,問題なかった模様.スパムアサシンのスコアも付かなかった.
しかし,X-MailerにFoxmailが入っているので,この辺りのスコアを見る必要があるのかな.
アマゾンのアカウント持ってないけどな,というのは置いといてアクセスしてみたら既に対策されていて本物のサイトに転送されるようになっていた.
VTで確認すると,そんなに酷いスコアではないが,Google Safebrowsingがフィッシングと判断しているから,精度は高いと判断されたのでしょう.
今回気になったのは迷惑メールフラグがつかなかったこと.
ちゃんとしてクラウドサービスを使っているので,問題なかった模様.スパムアサシンのスコアも付かなかった.
しかし,X-MailerにFoxmailが入っているので,この辺りのスコアを見る必要があるのかな.
【三井住友銀行】契約締結前交付書面兼説明書に関する重要なお知らせ というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/13 13:36
メールの件名がこれまでと違う特徴のあるものが到着.
「契約締結前交付書面兼説明書の改訂」という内容から誘導先でどうやってクレジットカード番号とかアカウントを搾取するのだろうと興味深く誘導先のFQDNを覗いてみたけれど既にテイクダウンされて本物のサイトにリダイレクトされるようになっていました.
「契約締結前交付書面兼説明書の改訂」という内容から誘導先でどうやってクレジットカード番号とかアカウントを搾取するのだろうと興味深く誘導先のFQDNを覗いてみたけれど既にテイクダウンされて本物のサイトにリダイレクトされるようになっていました.
うちには初めてきた気がするタイプのフィッシングメール.
メール本文に画像ビーコンが埋め込まれていたので,ちょっとうかつだった.
AbuseIPDB では未登録だが VirusTotal では少なからずマリシャスと登録されています.
ロボット判定のキャプチャが実装されていたり,クレジットカード番号からブランドを判別して画面を出すなど巧妙.しかし有効期限などのチェックはされていません.
メールのソースコードをBASE64からでコードすると,埋め込まれたビーコンが出てきました.
プレイスフォルダとは,作成中のサイトという意味.実際にアクセスすると次の通り.
引用:
次に誘導先のURLにアクセスしてみた.
失敗した後に,本物のサイトに転送されます.
メール本文に画像ビーコンが埋め込まれていたので,ちょっとうかつだった.
AbuseIPDB では未登録だが VirusTotal では少なからずマリシャスと登録されています.
ロボット判定のキャプチャが実装されていたり,クレジットカード番号からブランドを判別して画面を出すなど巧妙.しかし有効期限などのチェックはされていません.
メールのソースコードをBASE64からでコードすると,埋め込まれたビーコンが出てきました.
プレイスフォルダとは,作成中のサイトという意味.実際にアクセスすると次の通り.
引用:
恭喜, 站点创建成功!
这是默认index.html,本页面由系统自动生成
本页面在FTP根目录下的index.html
您可以修改、删除或覆盖本页面
FTP相关信息,请到“面板系统后台 > FTP” 查看
おめでとうございます!サイトは正常に作成されました。
これはデフォルトのindex.htmlで、このページはシステムによって自動的に生成されます。
このページは、FTPのルートディレクトリにあるindex.html
このページを修正、削除、上書きすることができます。
FTP関連は「パネルシステム・バックエンド>FTP」でご確認ください。
次に誘導先のURLにアクセスしてみた.
失敗した後に,本物のサイトに転送されます.
