ブログ - スパム・フィッシングカテゴリのエントリ
朝から迷惑メール.
本文が画像だから何も見えず.
メッセージのソースを確認.
fasshonnovaというサイトからメールが送られてきている模様.
サイトにアクセスしてみる.
すでにフィッシングサイト扱いになっている.
警告を無視してアクセスしてみる.
まだテイクダウンされてない模様.
可視化してみる.
すでに色々なセキュリティサイトでフィッシングとされている模様.Google Safebrowsingでもフィッシングとしているし.
メール送信のIPアドレスも可視化.
アムステルダムか.
最後にurlscan.ioでの分析結果.
長生きしているということは,テイクダウンできない理由があるのかなぁ.
本文が画像だから何も見えず.
メッセージのソースを確認.
fasshonnovaというサイトからメールが送られてきている模様.
サイトにアクセスしてみる.
すでにフィッシングサイト扱いになっている.
警告を無視してアクセスしてみる.
まだテイクダウンされてない模様.
可視化してみる.
すでに色々なセキュリティサイトでフィッシングとされている模様.Google Safebrowsingでもフィッシングとしているし.
メール送信のIPアドレスも可視化.
アムステルダムか.
最後にurlscan.ioでの分析結果.
長生きしているということは,テイクダウンできない理由があるのかなぁ.
多くのIcedIDを分析した結果が掲載されています.
IcedIDの感染につながる日本向けキャンペーンの分析
https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/
この分析記事しかないけれど,IoCも後悔していますね.
ばらまきメール回収の会の人の解説記事.
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別
https://bomccss.hatenablog.jp/entry/2020/11/30/130150
IcedIDの感染につながる日本向けキャンペーンの分析
https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/
この分析記事しかないけれど,IoCも後悔していますね.
ばらまきメール回収の会の人の解説記事.
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別
https://bomccss.hatenablog.jp/entry/2020/11/30/130150
これま,今後発展していくのかな.
ライティングスタイル分析の機能について
https://success.trendmicro.com/jp/solution/1122083
引用: 日本語の分かち書きはもう15年くらい前にはオープンソースで実現できていたわけで,その人のクセも学習できるでしょう.
普段よりちょっと改まって頼みごとをしたいときに,文体を変えたりするとスコアがあがるのかな.
ライティングスタイル分析の機能について
https://success.trendmicro.com/jp/solution/1122083
引用:
ビジネスメール詐欺 (BEC) では会社役員などの高プロファイルユーザが標的となります。Cloud App Security では、偽装される可能性のある高プロファイルユーザのライティングスタイルモデルを学習し、ユーザ本人が作成したメールメッセージであるかを機械学習の結果に基づき判定します。
普段よりちょっと改まって頼みごとをしたいときに,文体を変えたりするとスコアがあがるのかな.
EmotetとかIcedIDとか,マクロを使ったマルウェアは,アンチウイルスソフトなどが結構検知してくれるけれど,ニーズによってコントロールするのが良いのか.ま,利便性・業務効率とのトレードオフか.
マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
インターネットからダウンロードした素性のわからないVBAは,一旦実行できないようにしておくのが良いね.
マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
インターネットからダウンロードした素性のわからないVBAは,一旦実行できないようにしておくのが良いね.
今月初旬に引き続きこれらの話題.進化もしている模様.
緊急セキュリティ速報:マルウェア「IcedID」に注意
https://www.trendmicro.com/ja_jp/about/announce/announces-20201110-01.html
分析レポート:Emotetの裏で動くバンキングマルウェア「Zloader」に注意
https://www.lac.co.jp/lacwatch/people/20201106_002321.html
こういうのもあって,中身の見えないパスワード付きZIPが敬遠されるという世の中にしていこうとされている感じかなぁ.
ランサムウェアについてはこんな記事も.
ランサムウェアでブラジルの最高裁判所が閉鎖、Windowsの主要なランサムウェアがLinuxに乗り換えた事例としては初
https://gigazine.net/news/20201109-ransomexx-trojan-linux-brazil-top-court/
緊急セキュリティ速報:マルウェア「IcedID」に注意
https://www.trendmicro.com/ja_jp/about/announce/announces-20201110-01.html
分析レポート:Emotetの裏で動くバンキングマルウェア「Zloader」に注意
https://www.lac.co.jp/lacwatch/people/20201106_002321.html
こういうのもあって,中身の見えないパスワード付きZIPが敬遠されるという世の中にしていこうとされている感じかなぁ.
ランサムウェアについてはこんな記事も.
ランサムウェアでブラジルの最高裁判所が閉鎖、Windowsの主要なランサムウェアがLinuxに乗り換えた事例としては初
https://gigazine.net/news/20201109-ransomexx-trojan-linux-brazil-top-court/
ずっとドコモのケータイを使っているけれど,4〜5年,iモードもSPモードも使わずに電話番号だけの契約にしていたので,ドコモメールを使う文化がない.
2019年の5月に,ガラケーからスマホに(契約上)乗り換えた時にdocomo.ne.jpのメールアドレスを取得できたので取ったけれど,誰にも教えずに,,,というか自分でも忘れいたら,なんと15ヶ月で140通もメールが溜まっていた.
必要?まともだったのは,ドコモからの「データ量に関するお知らせ」で,これは在宅勤務開始の4月分以降,データ量が5GBを越えることがなくなったので通知がこなくなっていた.
代わりに,迷惑メールが来ている.これは実はマッチポンプなんじゃないか?(データ量を消費するための・・・)
メールによっては,フィッシング用のURLすら無いものがある.返信するんだろうけれど,そもそも標的型メールのように返信したくなるような内容でも無い.
iモードメールの時は,迷惑メール対策が無料だったけれど,残念ながら現在は有料とのこと.
せっかく迷惑メールが来る専用のメアドをゲットできたので,それはそれで観察のために保持しておくかな.
2019年の5月に,ガラケーからスマホに(契約上)乗り換えた時にdocomo.ne.jpのメールアドレスを取得できたので取ったけれど,誰にも教えずに,,,というか自分でも忘れいたら,なんと15ヶ月で140通もメールが溜まっていた.
必要?まともだったのは,ドコモからの「データ量に関するお知らせ」で,これは在宅勤務開始の4月分以降,データ量が5GBを越えることがなくなったので通知がこなくなっていた.
代わりに,迷惑メールが来ている.これは実はマッチポンプなんじゃないか?(データ量を消費するための・・・)
メールによっては,フィッシング用のURLすら無いものがある.返信するんだろうけれど,そもそも標的型メールのように返信したくなるような内容でも無い.
iモードメールの時は,迷惑メール対策が無料だったけれど,残念ながら現在は有料とのこと.
せっかく迷惑メールが来る専用のメアドをゲットできたので,それはそれで観察のために保持しておくかな.
送信ドメイン認証(SPF)が設定されたメールサーバだと,応答内容がメールヘッダのAuthentication-Resultsに現れるというので,表示するようにしてみた.
設定したのは,Apple Mail.
設定は簡単だけれど,ヘッダが表示されている適当なメールが,意外と少ない.
最初に見つけたのが,MS-ISACからのメール.
その次に見つけたのが,Google AdSenseからのメール.
なるほどね.DMARCの設定が,自分の方針とはまるで違う.まぁ偽装メール送られまくっているだろうから,REJECTが正しいのかな.
逆に自分のメールサーバからgmailにメールを送った時,どのようにヘッダが表示されているかを確認.
いいじゃなーい
DMARCもpassになっているので,信頼性は高い方じゃないかな.後は証明書とかかなぁ.
信頼性を求められる,お金払えとか購入したとかのメールは,Authentication-Resultsを確認すると騙されにくいかもしれない.
設定したのは,Apple Mail.
設定は簡単だけれど,ヘッダが表示されている適当なメールが,意外と少ない.
最初に見つけたのが,MS-ISACからのメール.
その次に見つけたのが,Google AdSenseからのメール.
なるほどね.DMARCの設定が,自分の方針とはまるで違う.まぁ偽装メール送られまくっているだろうから,REJECTが正しいのかな.
逆に自分のメールサーバからgmailにメールを送った時,どのようにヘッダが表示されているかを確認.
いいじゃなーい
DMARCもpassになっているので,信頼性は高い方じゃないかな.後は証明書とかかなぁ.信頼性を求められる,お金払えとか購入したとかのメールは,Authentication-Resultsを確認すると騙されにくいかもしれない.
国内でマルウェア「IcedID」が拡散か--Emotetに類似
https://japan.zdnet.com/article/35162074/
引用:
進化を続けるマルウェア「Emotet」 怪しく見えないメールも警戒を
https://www.itmedia.co.jp/news/articles/2010/15/news058.html
引用:
通常のビジネスマンでも,そういう流行りを知っている必要がある時代なのかな.メールの相手が正しいのかどうかを確認する必要性.
「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意
https://blog.trendmicro.co.jp/archives/26656
https://japan.zdnet.com/article/35162074/
引用:
JPCERT コーディネーションセンター(JPCERT/CC)は11月6日、マルウェア「IcedID」の感染を狙う不正なメールが複数報告されているとして注意を呼びかけた。近年流行するマルウェア「Emotet」の感染を狙った攻撃方法に似ているという。
進化を続けるマルウェア「Emotet」 怪しく見えないメールも警戒を
https://www.itmedia.co.jp/news/articles/2010/15/news058.html
引用:
例えば不正な添付ファイルがウイルス対策ソフトに検出されるようになると、パスワードで保護された「.zip」などのアーカイブファイルを添付する手口に切り替えて、検出を免れるようになった。
通常のビジネスマンでも,そういう流行りを知っている必要がある時代なのかな.メールの相手が正しいのかどうかを確認する必要性.
「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意
https://blog.trendmicro.co.jp/archives/26656
プライバシーマークの団体として有名な,JIPDECの発表.
防災メールのなりすまし対策の強化が急務
-JIPDECとTwoFiveが自治体防災メールなりすまし対策状況調査結果公表-
https://www.jipdec.or.jp/topics/news/20201020.html
引用: つまり,SPFやDMARCが設定されてない場合,メールを受け取らないようにサーバで処理できるけれど,防災メールの多くがそれらが設定されてないからメールサーバ側での対処は難しい感じかな.
ちゃんとしたシステム運営されてないとこういうことになると.
引用:
防災メールのなりすまし対策の強化が急務
-JIPDECとTwoFiveが自治体防災メールなりすまし対策状況調査結果公表-
https://www.jipdec.or.jp/topics/news/20201020.html
引用:
1.防災メール発信を行っている自治体は全体の62.8%
2.なりすまし対策のSPFとDMARCは両方設定していないとなりすましメールと判断されることがあるが、SPF の設定は全体の90%なのに対しDMARCの設定ができている自治体は14.2%
3.都道府県別の設定割合ではSPFもDMARCも両方設定できている自治体は、どの都道府県も50%未満
ちゃんとしたシステム運営されてないとこういうことになると.
引用:
実際に2018年7月にも、岡山県の大雨特別警報を知らせるメールが迷惑メールと判断され、3千人に対し配信できなくなり、延べ192万通の配信が最大2時間遅延したという事件が発生しています。このため、総務省が公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成30年9月版)にも、なりすまし対策として送信ドメイン認証技術を採用しなければならないと記載されています。
なんかめちゃくちゃたくさんくる.
引用: 覚えたての猿みたいな感じ? ちなみに,送信してくるメールアドレスと誘導先のURLは毎回違っています...
NTT-X Storeは数年に一度,木になる商品がある時がある.ネットのニュースで誘導されるだけだが...アカウントを作ろうというモチベーションはないなぁ...
引用:
注文番号 X301918-51042-5
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎本メールは発送時に、自動送信されております。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
毎度ありがとうございます。「NTT-X Store」です。
ご注文頂いております商品を発送させていただきましたのでご報告申し上げます。
NTT-X Storeは数年に一度,木になる商品がある時がある.ネットのニュースで誘導されるだけだが...アカウントを作ろうというモチベーションはないなぁ...
お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2020/10/29 1:32
見知らぬSMSが届いていた.
何も買ってないので荷物は届かん.だれも何も無料で送ってくれないだろうし.
数日,放置しても音沙汰ないwので,電話番号を調べて見た.
ドメイン名も記載があるので調べると,どうも日本郵便を騙ってApple IDをいれさせるサイトのようだ.
「即レス」を今すぐやめたほうがいい理由
https://the-owner.jp/archives/3291
何も買ってないので荷物は届かん.だれも何も無料で送ってくれないだろうし.
数日,放置しても音沙汰ないwので,電話番号を調べて見た.
ドメイン名も記載があるので調べると,どうも日本郵便を騙ってApple IDをいれさせるサイトのようだ.
「即レス」を今すぐやめたほうがいい理由
https://the-owner.jp/archives/3291
巧妙なフィッシングメールが増えている中で,こんな呑気な迷惑メールが...
引用: 連絡手段が,メールの返信だけの模様.
そして,メールヘッダを読んでびっくり.
早稲田大学だと?
IPアドレスをみると,ムンバイ.
AbuseIPDBでみると,固定IPってでているなぁ.SFPとかもないので,偽装か.
引用:
ご挨拶、
私の名前は、カナダ有数の暗号通貨交換プラットフォームの1つである最高コンプライアンス責任者であるFelixです。
これは私からあなたへの秘密の秘密のメッセージであり、そのように扱われることを要求します。
故人の口座保有者が所有する清算されたBTC口座から生じた900万米ドルを超える資金に関する緊急事項(取引)についてご連絡いたします
。 私の計画と、私があなたの返事を受け取り、あなたの信頼を得た後、私が最初にあなたに連絡することを選んだ理由をあなたに知らせます。
たくさんの感謝とあなたの返事を楽しみにしています。
フェリックス。
そして,メールヘッダを読んでびっくり.
早稲田大学だと?
IPアドレスをみると,ムンバイ.
AbuseIPDBでみると,固定IPってでているなぁ.SFPとかもないので,偽装か.
月曜日の朝から届いていたのだけれど.
引用:
さっきメールに気づいてアクセスすると,すでに停止されていました.
数日前から発信されているフィッシングメールのようです.
給付金2回目支給? 総務省をかたる偽通知メールに注意
https://internet.watch.impress.co.jp/docs/news/1283099.html
[更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
https://www.antiphishing.jp/news/alert/kyufukin_20201019.html
2020/10/19 11:00現在ではサイトは稼働していたようだ.
日本語も巧妙というか日本人に間違いないわけだから,タチが悪い.
引用:
令和2年10月14日、「新型コロナウイルス感染症緊急経済対策」が閣議決定され、感染拡大防止に留意しつつ、簡素な仕組みで迅速かつ的確に家計への支援を行うため、二回目特別定額給付金事業が実施されることになり、総務省に特別定額給付金実施本部を設置いたしました。
さっきメールに気づいてアクセスすると,すでに停止されていました.
数日前から発信されているフィッシングメールのようです.
給付金2回目支給? 総務省をかたる偽通知メールに注意
https://internet.watch.impress.co.jp/docs/news/1283099.html
[更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
https://www.antiphishing.jp/news/alert/kyufukin_20201019.html
2020/10/19 11:00現在ではサイトは稼働していたようだ.
日本語も巧妙というか日本人に間違いないわけだから,タチが悪い.
西新宿の新宿区立淀橋第六小学校近くに住んでいた身からすると,ヨドバシという言葉が国際的にも認知されたのかなぁと思ったら感無量.
「異常は発生しますので」と言い切るあたり,あの国のカタコト発音が脳内再生されてしまうなぁ.
引用: 変なところに空白が入るという特徴がありますな.
「異常は発生しますので」と言い切るあたり,あの国のカタコト発音が脳内再生されてしまうなぁ.
引用:
ヨドバシ.comに ついての重要なお知 らせ普段お客様がご 利用になられていな い環境からヨドバシ.comへ のログインがありまし た,異常は発生しますの で、お客様のアカウ ントをチェックして ください。
不正なユ ーザーが ヨドバシ .comアカウ ントにアク セスした可 能性がある と考えていま す。したがっ て、アカウン トへのアクセ スを一時的に ブロックし、 オファ ーを無効 にします。 相手がどの ようにあなた のアカウント 情報を取得した のかわかりませ んが、次の方法 が考えられます。
- マルウェ アを使用 して、ユ ーザーの キーボー ド入力ア クション を検出し ます。
- 頻繁に使 用するパ スワード を使用し ます。
したが って、個人 情報を再登 録し、私た ちにIPおよ びログイン 環境の監視 を許可する 必要があり ます。その 後、不正な ログインが ブロックさ れ、パスワ ードを変更 せずにヨド バシ.comア カウントを 安全に使用 できるよう になります。
最近アマゾンを語る迷惑メールのキャンペーン中のようで色々なフィッシングドメインへの誘導がされるのだけれど,xyzとtopが多かったけれど,monsterというのを見かけたのでチェックして見た.
まずはこんな感じで,リンク先がmonsterになっている.
monsterドメインは,お名前.comでも取得できる模様.
検索して見た.
98円か...
そしてモンスターといえば・・・
流石にpocket.monsterは取得されている模様.
ちなみに...
売られてた!
まずはこんな感じで,リンク先がmonsterになっている.
monsterドメインは,お名前.comでも取得できる模様.
検索して見た.
98円か...
そしてモンスターといえば・・・
流石にpocket.monsterは取得されている模様.
ちなみに...
売られてた!
アマゾン,楽天,三井住友を語るフィッシングメールは後を絶たないけれど,今回はいつもと違う特徴的な内容のメールが.
日本語の説明文書が多くて長いから不読率が高そうだな,,,という印象と,単語の間に不自然にブランクが入っている.
特定の使われるキーワードがある一定以上登場するとSPAM判定される旧式エンジンもあるけれど,それの対策なのか,ただメール送信システムがしょぼいのか.
変化を観察することで,将来騙されそうにあるタイミングって見えてくるのかなぁ.
ああ,それと最近はリンク先に.topドメインが多いです.そういうトップドメインが増えたのか安いのか.
日本語の説明文書が多くて長いから不読率が高そうだな,,,という印象と,単語の間に不自然にブランクが入っている.
特定の使われるキーワードがある一定以上登場するとSPAM判定される旧式エンジンもあるけれど,それの対策なのか,ただメール送信システムがしょぼいのか.
変化を観察することで,将来騙されそうにあるタイミングって見えてくるのかなぁ.
ああ,それと最近はリンク先に.topドメインが多いです.そういうトップドメインが増えたのか安いのか.
ちょっと古いけれど,まずはIPAの9月2日に更新.
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて - IPA
https://www.ipa.go.jp/security/announce/20191202.html
更新されたのは「相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日 追記)」という件について.
これまではDOCに偽装したEXEとかVBA実行による外部サイトからのマルウェアダウンロード実行とかだけれど,ZIPでパスワード付き,そしてメールの差出人は過去にやりとりした人を偽装していたり本文も,やりとりしたことのある文書を引用された形で騙されたやすい.
パスワード付きZIPにしているので,ゲートウェイ型のセキュリティシステムは通過して,あとはファイルを展開した際にエンドポイントのセキュリティツールが実行まえに検知するかどうかかな.
VBAの内容がダウンロードの試行のようなわかりやすいスクリプトだったり,MIMEエンコードされたURLへのリダイレクトだったりなので,セキュリティソフトを入れていれば,そのあたりの振る舞いで検知されてブロックされるはず.
次にJPCERT/CCの記事.9月4日版.
マルウェア Emotet の感染拡大および新たな攻撃手法について
https://www.jpcert.or.jp/newsflash/2020090401.html
やっぱりパスワード付きZIPファイルか.パスワードがメール本文内に入っているという特徴があるね.大手企業のセキュリティ教育だと,「パスワードの通知メールは別送で」と教育されてきているので,それだけで違和感があるので気付けるかな.(パスワード通知の別送にも賛否両論があるが)
Piyologに,なりすますメールの注意喚起を出している各種企業について記事がまとめられていますね.
7月下旬以降相次ぐ不審メール注意喚起についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/08/12/124753
自社なり取引先なりで侵害があて,メールアドレス,名前,本文の文書が漏洩していて,語られているのだろうと思います.
開いてしまった時の対処方法指南.
「怪しい添付ファイルを開いてしまった」場合はどうする? 対処法・対策をトレンドマイクロが紹介
https://internet.watch.impress.co.jp/docs/news/1277070.html
EmotetでZIPファイルが届いたけれど,ZIP64形式だったのでWindows 10標準の圧縮ファイル展開機能だと展開に失敗するという間の抜けた問題もある模様...
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて - IPA
https://www.ipa.go.jp/security/announce/20191202.html
更新されたのは「相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日 追記)」という件について.
これまではDOCに偽装したEXEとかVBA実行による外部サイトからのマルウェアダウンロード実行とかだけれど,ZIPでパスワード付き,そしてメールの差出人は過去にやりとりした人を偽装していたり本文も,やりとりしたことのある文書を引用された形で騙されたやすい.
パスワード付きZIPにしているので,ゲートウェイ型のセキュリティシステムは通過して,あとはファイルを展開した際にエンドポイントのセキュリティツールが実行まえに検知するかどうかかな.
VBAの内容がダウンロードの試行のようなわかりやすいスクリプトだったり,MIMEエンコードされたURLへのリダイレクトだったりなので,セキュリティソフトを入れていれば,そのあたりの振る舞いで検知されてブロックされるはず.
次にJPCERT/CCの記事.9月4日版.
マルウェア Emotet の感染拡大および新たな攻撃手法について
https://www.jpcert.or.jp/newsflash/2020090401.html
やっぱりパスワード付きZIPファイルか.パスワードがメール本文内に入っているという特徴があるね.大手企業のセキュリティ教育だと,「パスワードの通知メールは別送で」と教育されてきているので,それだけで違和感があるので気付けるかな.(パスワード通知の別送にも賛否両論があるが)
Piyologに,なりすますメールの注意喚起を出している各種企業について記事がまとめられていますね.
7月下旬以降相次ぐ不審メール注意喚起についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/08/12/124753
自社なり取引先なりで侵害があて,メールアドレス,名前,本文の文書が漏洩していて,語られているのだろうと思います.
開いてしまった時の対処方法指南.
「怪しい添付ファイルを開いてしまった」場合はどうする? 対処法・対策をトレンドマイクロが紹介
https://internet.watch.impress.co.jp/docs/news/1277070.html
EmotetでZIPファイルが届いたけれど,ZIP64形式だったのでWindows 10標準の圧縮ファイル展開機能だと展開に失敗するという間の抜けた問題もある模様...
三井住友カードについては,たびたびフィッシング対策協議会のページにでているけれど,国際ブランド別のシェアでは三井住友も扱っているVISAカードはシェア50%なので狙いやすいでしょう.
メール本文にあるIPアドレスはOCNのものでした.以前調査したものはアメリカだったので,ちょっと改善したのでしょう...
引用: 今回気になったのは,この本文.
テキストメールに見えてHTMLメールなのでURLが隠蔽化されているから,MIMEデコードしないとURLが発見できないことかな.
そしてリンク先にアクセスをして見る.
すでに対策がされているので警告が出た.
「この警告を無視する」でアクセスしてみる.
すでに止まっていました.
メール本文にあるIPアドレスはOCNのものでした.以前調査したものはアメリカだったので,ちょっと改善したのでしょう...
引用:
◆ログイン情報
・ログイン日時 :2020/9/23 8:57:14
・IPアドレス :x.x.x.x
VpassIDおよびパスワードを他のサイトと併用している場合には、
漏えいした情報より、悪意のある第三者によるネットショッピン
グでの悪用の可能性もございます。
VpassIDおよびパスワードは他のサイトでは使用せずに、定期的
にご変更いただきますようお願いいたします。VpassID・パスワ
ードのご変更はこちらをご覧ください。
テキストメールに見えてHTMLメールなのでURLが隠蔽化されているから,MIMEデコードしないとURLが発見できないことかな.
そしてリンク先にアクセスをして見る.
すでに対策がされているので警告が出た.
「この警告を無視する」でアクセスしてみる.
すでに止まっていました.
アマゾン,楽天,三井住友のフィッシングメールがやたらと増えているけれど,Emotetを失敗したような迷惑メールがきました.
引用: なにか悪意のあるマクロがしこまれているであろう,添付ファイルがついていません...
同じ内容のメールが,いつも迷惑メールが来る迷惑メール専用の2つのメアドに届きましたが,宛先の名前が伊東さんだったり佐藤さんだったりしました.(フルネームはマスク)
送信したメールアドレスは同じものだったので送信サーバのIPアドレスを調査.
ロシア,モスクワからか.
AbuseIPDBを見ると,IPアドレス的には汚れてない模様.
kingserver.comは,VPS/VDSのサービス会社の模様.DomainKey,Dkimも問題ないのでブロックは難しいかな.
引用:
経理ご担当者様
お世話になっております。
株式会社トラベルエージェントの笹原です。
お忙しい中、ご連絡をいただきありがとうございます。
ご指摘の通り、9月度ご請求書を修正いたしましたので、ご確認頂けますと幸いでございます。
ご迷惑をお掛けし、申し訳御座いません。
取り急ぎ要件のみとなりますが、
今後とも何卒よろしくお願い致します。
同じ内容のメールが,いつも迷惑メールが来る迷惑メール専用の2つのメアドに届きましたが,宛先の名前が伊東さんだったり佐藤さんだったりしました.(フルネームはマスク)
送信したメールアドレスは同じものだったので送信サーバのIPアドレスを調査.
ロシア,モスクワからか.
AbuseIPDBを見ると,IPアドレス的には汚れてない模様.
kingserver.comは,VPS/VDSのサービス会社の模様.DomainKey,Dkimも問題ないのでブロックは難しいかな.
ふと,いつもSPAMメールが来るアドレスのメールボックスが騒がしいのでみてみた.
件名「テーマ: 商業オファー。」
基本的には全部脅迫メール.使い古しか.
引用: 1500ドルって今どうなのか.
なるほど.そしてメールの中にある振込先のBitcoinのアドレスは7件中6件が1tj9z9upErKtYCf9MJ78hAcTAfd2xxxなので同じ.
いつものようにビットコインの流れを確認.
0.15ビットコインが送金されている!
一人送ったのか...大儲けだな.でも,これ,しばらく後で見たら増えてたりするのかな.
件名「テーマ: 商業オファー。」
基本的には全部脅迫メール.使い古しか.
引用:
それならば、ご提案があります。
1500 USD相当の金額を私のBitcoin ウォレットへと送金していただけると、私は全てのことを忘れることにします。さらに、全てのデータやビデオを永久的に削除しましょう。
1,500 アメリカ合衆国ドル は
158,893.50 円
9月8日 17:00 UTC
いつものようにビットコインの流れを確認.
0.15ビットコインが送金されている!
0.15 ビットコイン は161,332.58 円
9月8日 17:00 UTC
楽天でアカウントを持ってないメアドに,こんなメールが来ていた.
引用:
ログインしたというIPアドレスは,アメリカのもので汚れてない模様.
汚れてないIPアドレスを用いることでブロックを回避か.
クリック先のURLは,ドメインは中国.その先にopenidへリダイレクトされるようなパラメータがついているので,そこでログインさせて搾取するのかなぁ.
ちなみに,.cnになっているけれど,digした時のIPアドレス,112.175.150.110は,Korea Telecomでした.
リンク先のURLをurlscan.ioでチェックすると,フィッシングだと出ますね.
興味深くアクセスすると,こんな感じ.
オレオレSSL証明書.この時点で敷居が高くなっている.(ブラウザによっては,直接アクセスできない)
アクセスした先は良くあるログイン画面.興味深いのは,Englishや中文などのリンクがあるけれど,それらのページは用意されていません.
それで,フィッシング協議会の通報メールアドレスを用いて,パスワードは「つうほうしました」をローマ字で入力してログイン.
ログイン成功.
面白そうなので,続けてみる.
カード番号登録画面.丁寧に,カード番号の最初の4297は楽天カードの番号.これを適当な数字で入力してみる.
数値を入れてカード有効期限にフォーカスを移すと,「無効カードの疑いがある。」とエラーがでた.最低限のチェックロジックはある模様.
今日はこれぐらいで終了.
実例で見るネットの危険:国内ユーザを狙うネット通販詐欺
https://blog.trendmicro.co.jp/archives/25764
管理ツールの8080は空いてないようだけれど,Maltegoによって22番が空いているというので,確認してみた.
パスワード認証か...
引用:
上記のログイン記録にお心あたりがない場合は、お客様以外の第三者によってログインされた可能性がございます。
下のリンクをクリックして、安全なサーバーを使用してアカウント情報を確認してください。
続けるにはこちらをクリック
万が一、身に覚えのないご利用やご注文が確認された場合は、楽天市場トップページより「ヘルプ」をクリックいただき、「ヘルプ・問い合わせトップ」画面下部の「楽天市場へ問い合わせる」から「楽天市場お客様サポートセンター」へお問い合わせください。
※本メールはご登録いただいたメールアドレス宛に自動的に送信されています。
※本メールは送信専用です。ご返信いただきましてもお答えできませんのでご了承ください。
楽天株式会社
ログインしたというIPアドレスは,アメリカのもので汚れてない模様.
汚れてないIPアドレスを用いることでブロックを回避か.
クリック先のURLは,ドメインは中国.その先にopenidへリダイレクトされるようなパラメータがついているので,そこでログインさせて搾取するのかなぁ.
ちなみに,.cnになっているけれど,digした時のIPアドレス,112.175.150.110は,Korea Telecomでした.
リンク先のURLをurlscan.ioでチェックすると,フィッシングだと出ますね.
興味深くアクセスすると,こんな感じ.
オレオレSSL証明書.この時点で敷居が高くなっている.(ブラウザによっては,直接アクセスできない)
アクセスした先は良くあるログイン画面.興味深いのは,Englishや中文などのリンクがあるけれど,それらのページは用意されていません.
それで,フィッシング協議会の通報メールアドレスを用いて,パスワードは「つうほうしました」をローマ字で入力してログイン.
ログイン成功.
面白そうなので,続けてみる.
カード番号登録画面.丁寧に,カード番号の最初の4297は楽天カードの番号.これを適当な数字で入力してみる.
数値を入れてカード有効期限にフォーカスを移すと,「無効カードの疑いがある。」とエラーがでた.最低限のチェックロジックはある模様.
今日はこれぐらいで終了.
実例で見るネットの危険:国内ユーザを狙うネット通販詐欺
https://blog.trendmicro.co.jp/archives/25764
管理ツールの8080は空いてないようだけれど,Maltegoによって22番が空いているというので,確認してみた.
$ ssh root@rakuten.co.jp.cookiesget.ol7g[.]cn🆑
The authenticity of host 'rakuten.co.jp.cookiesget.ol7g.cn (112.175.150.110)' can't be established.
ECDSA key fingerprint is SHA256:yTya7bjFTvyHEXTc+8x7TOUK7HKZgxeJK3L2X2BCfhY.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'rakuten.co.jp.cookiesget.ol7g[.]cn,112.175.150[.]110' (ECDSA) to the list of known hosts.
root@rakuten.co.jp.cookiesget.ol7g.cn's password:
最近,こんなメールが届く.
やっぱり添付ファイルがついていると,ワクワクする.
ちょっと,まず何を書いてあるのか,DeepLで確認して見る.
ロシア語と,同じことを英語で書いてあるのか.
添付ファイルを保存してみたけれど,これは偽リンクじゃなくて,ちゃんとファイルでした.
Microsfot Wordだけれど,macOSを使っていたらWordを開かずともQuickLookで参照可能. 一応,VirusTotalにアップロードして検査.
ファイル自体には問題ない模様.
コミュニティをみると,スパムだと書いてある.ただし,うちに来た時とは違うメールアドレスだな.
そしてWordの中身の1つ.
引用:ということで,Web広告の営業メールでした.
やっぱり添付ファイルがついていると,ワクワクする.
Здравствуйте. У меня есть предложения для
владельца сайта.
Передайте пожалуйста мои предложения
и контакты руководству, которые указаны
в прикрепленных файлах.
Hello. I have suggestions for the site owner.
Please pass on my suggestions and contacts to the management,
which are indicated in the attached files.
ちょっと,まず何を書いてあるのか,DeepLで確認して見る.
こんにちは。いくつかの提案があります。
サイトオーナーの
私の提案を伝えてください
と管理者の連絡先が表示されています。
を添付ファイルに記載してください。
こんにちは。サイトへの提案をさせていただきました。
私の提案や連絡先を運営側に伝えてください。
のように、添付ファイルに記載されています。
添付ファイルを保存してみたけれど,これは偽リンクじゃなくて,ちゃんとファイルでした.
Microsfot Wordだけれど,macOSを使っていたらWordを開かずともQuickLookで参照可能. 一応,VirusTotalにアップロードして検査.
ファイル自体には問題ない模様.
コミュニティをみると,スパムだと書いてある.ただし,うちに来た時とは違うメールアドレスだな.
そしてWordの中身の1つ.
引用:
Hello. Are you interested in setting up and maintaining contextual advertising?
I have been setting up and running contextual advertising for over 9 years.
My WhatsApp /Viber for fast communication: +380973510878
My Skype: mayboroda[_]aleks
What benefits do you get?
1. The lowest cost of attracting the buyer of your goods or services.
2. Only the target audience, ready to buy your product or service.
3. Save time on finding customers.
4. Payment is only for going to the site of an interested buyer.
5. Instant result. You don’t have to wait 5-7 months as when promoting a site in order to start receiving targeted traffic or looking for it in other ineffective ways that lead in the majority to non-target audience.
6. Return on investment in the first month.
7. Savings on staff who deal with inefficient ways to attract customers.
8. A regular customer. Since the customer’s contacts are saved when ordering
in the future, he can be offered other goods and services through the newsletter.
What I suggest:
1. Analysis of competitors and recommendations for improving the site, to increase the conversion of the visitor into a real, regular customer.
2. Gathering only targeted sales inquiries that will lead buyers who are ready to buy.
3. Setting up contextual advertising based on an analysis of your site and competitors' sites.
4. Create ads for each request.
5. Launching and maintaining contextual advertising, filtering out unnecessary requests that do not bring effect, changing ads to more effective ones that will increase conversion and save the budget.
Monthly cost of service
For the work on setting up and running advertising, I take 42$ per month.
An advertising budget is also needed - I recommend from 144$ per month.
You can pay once a week: 11$ for work + 36$ per week of the advertising budget
= 47$ per week.
Warranty:
1. Immediately after the launch of advertising, you will be able to see your site for certain queries in the top 3 search engines. And you do not have to wait and believe for 5-7 months, the site will be in the top 3 with advancement or not.
2. Already in the first week of the launch of advertising, you will receive real orders.
3. You can make money in advertising and for work once a week.
4. I, as well as you, are interested in the effectiveness of advertising and the continuation of long-term cooperation. Since if you will benefit, then I will benefit - long-term cooperation.
5. Reporting. You will receive a list of requests for which phrases your ad is showing in the top 3 search engines and you will be able to evaluate the quality of the created ads and the presence of your site in the first positions of Yandex and Google. As well as the number of orders from the site.
My WhatsApp /Viber for fast communication: +380[9]73510878
My Skype: mayboroda[_]aleks
Sincerely, Alexander, a specialist in setting up and maintaining contextual advertising.
去年も紹介したこのサイト.
https://haveibeenpwned.com
前回は迷惑メールがくるメールアドレスを投入して検索したのだけれど,これをドメイン管理者であればドメイン名ごとに検索できることを知ったので試してみました.
ドメイン毎にメールアドレスの流出を調べた
結果はJSONとかExcelで入手できるのでチェックが楽だね.
去年,スパムばかり来るので該当のメアドは止めていたのだけれど,最近,Maltegoで分析が面白いので逆に迷惑メールが届くようにオンにしてみました...
ちなみに,最近よく迷惑メールが来るメアドは,このhave i been pwned? には登録されていません.
去年止めた迷惑メールが届くメアドは,アメリカのサービスを利用.HIBPで登録あり
今現在迷惑メール届くメアドは,日本のサービスを利用.HIBPで登録ナシ
ちょっとだけ違いがあるので,サンプリングとしては面白いかなぁ.
https://haveibeenpwned.com
前回は迷惑メールがくるメールアドレスを投入して検索したのだけれど,これをドメイン管理者であればドメイン名ごとに検索できることを知ったので試してみました.
ドメイン毎にメールアドレスの流出を調べた
結果はJSONとかExcelで入手できるのでチェックが楽だね.
去年,スパムばかり来るので該当のメアドは止めていたのだけれど,最近,Maltegoで分析が面白いので逆に迷惑メールが届くようにオンにしてみました...
ちなみに,最近よく迷惑メールが来るメアドは,このhave i been pwned? には登録されていません.
ちょっとだけ違いがあるので,サンプリングとしては面白いかなぁ.
今日,いつも迷惑メールが届くメアドに,ルイ・ヴィトンのアウトレット販売っぽい迷惑メールが来た.
せっかくの機会なので,この迷惑メールを教材に,Maltegoを使って調べて見た.
IPinfoやHaveIbeenPwnedを使って,迷惑メールの発信元を調べて見たけれど,中国のものとしかわからず.ただし乗っ取りされている風でもなかった.
そして本文にあるURLは,シンガポールにあるアリババのサーバのようだけれど,すでにロックアウトされていたので内容を見ることはできずじまいでした.
Maltegoで迷惑メールを可視化してみる2020.05.14版
普段使いでは無いメールアドレスに,コンスタントに迷惑メールが到着するというのは,こういう趣味?仕事をしていると良いサンプルが手に入ってありがたいことなのかな.
せっかくの機会なので,この迷惑メールを教材に,Maltegoを使って調べて見た.
IPinfoやHaveIbeenPwnedを使って,迷惑メールの発信元を調べて見たけれど,中国のものとしかわからず.ただし乗っ取りされている風でもなかった.
そして本文にあるURLは,シンガポールにあるアリババのサーバのようだけれど,すでにロックアウトされていたので内容を見ることはできずじまいでした.
Maltegoで迷惑メールを可視化してみる2020.05.14版
普段使いでは無いメールアドレスに,コンスタントに迷惑メールが到着するというのは,こういう趣味?仕事をしていると良いサンプルが手に入ってありがたいことなのかな.
カミさんのところにも,Amazonを騙るフィッシングメールが届くようになった模様.
面白いので転送してもらった.
差出人の部分がむちゃくちゃだけれど,本文がひどい.
本文を取り出してみた.
お前扱いしているのはもちろん,ロッグとされて日本語も変である.
このような場合,日本語に違和感があるから判別ができやすいけれど,流暢な日本語だったら,騙されるところでしょう.これはいつもそう思う危機感.
「Amazonログイン」のバッジの部分をフォーカスすると,リンク先のドメインが出てきます.これはiPhoneとかiPadだと,マウスでフォーカスを当てて本来のドメインを調べる方法が取りづらいので,騙される率は高いように思う.
そしてメール本文にある,異常なログインIPをAbuseIPDBで調べてみた.
ここで示して居るのは,trabelport[.]comという会社組織で,アメリカのテクノロジー系の旅行関連業者の模様.AbuseIPDBには,このIPアドレスは問題のある行動はレポートされてない模様.
そして,隠しリンクになっていたドメインのzmoatqdx[.]xyzを,Sucuriで調査.
Site is Blacklistedとされ,Crtical Security Riskと出た.
Scan failedとも出ているので,すでにサーバは停止されて居る模様.
また,AbuseIPDBで調査してみる.
ここでも,60%くらいはこのアドレスは怪しいとされている.IPアドレスの所有者は,godaddy[.]comというインターネットサーブスプロバイダでホスティング事業もやっているようだから,犯人はそのホスティングサービスを利用した模様.
時間が経過すると,どこかの機関によってロックアウトされていることが多い.なので,フィッシングメールの文の内容には「今すぐ確認を!」とされていることが多いですね.今回は,それは入ってないけれど.
面白いので転送してもらった.
差出人の部分がむちゃくちゃだけれど,本文がひどい.
本文を取り出してみた.
お前のAmazon ID情報の一部分は不足、あるいは正しくないです、
お前のアカウント情報を保護するため、アカウントにログインして
検証する必要があります。
ログインして画面の指示のように操作したら、
アカウントのロッグをアンロックしていたたけます。
このような場合,日本語に違和感があるから判別ができやすいけれど,流暢な日本語だったら,騙されるところでしょう.これはいつもそう思う危機感.
「Amazonログイン」のバッジの部分をフォーカスすると,リンク先のドメインが出てきます.これはiPhoneとかiPadだと,マウスでフォーカスを当てて本来のドメインを調べる方法が取りづらいので,騙される率は高いように思う.
そしてメール本文にある,異常なログインIPをAbuseIPDBで調べてみた.
ここで示して居るのは,trabelport[.]comという会社組織で,アメリカのテクノロジー系の旅行関連業者の模様.AbuseIPDBには,このIPアドレスは問題のある行動はレポートされてない模様.
そして,隠しリンクになっていたドメインのzmoatqdx[.]xyzを,Sucuriで調査.
Site is Blacklistedとされ,Crtical Security Riskと出た.
Scan failedとも出ているので,すでにサーバは停止されて居る模様.
また,AbuseIPDBで調査してみる.
ここでも,60%くらいはこのアドレスは怪しいとされている.IPアドレスの所有者は,godaddy[.]comというインターネットサーブスプロバイダでホスティング事業もやっているようだから,犯人はそのホスティングサービスを利用した模様.
時間が経過すると,どこかの機関によってロックアウトされていることが多い.なので,フィッシングメールの文の内容には「今すぐ確認を!」とされていることが多いですね.今回は,それは入ってないけれど.
最近はAmazonを語る迷惑メールばかりくるので,面白くないのだけれど.
日本人だと「Hi」で始まる文書を作ることはないなぁ.ドメインはアイルランドとかアメリカが絡んでいるようだけれど.
「12億円」で調べると,MEGA BIGというのが今年の2月15日より発売されて居て,キャリーオーバーで最高12億円なのだそうです.新型コロナウイルスのニュースばかりで,MEGA BIGは話題になってないと思うけれど,迷惑メールはしたたかだなぁ.
Hi~ すみません
私たちがメールの送信の理由は、インターネットのスポーツトトを
推薦してドリルしようとしているからです。
58bet 独立行政法人日本スポーツ振興センターのスポーツ振興くじ
助成金を受けて、体育施設の整備やスポーツ大会などを行っています。
58betとは、BIG(コンピューターがランダムで試合結果を自動選択する、
予想のいらない最高6億円のくじ)、
toto(サッカーの試合結果を予想するくじ)がインターネットで
買えるサービスです。
58betに無料会員登録するだけで利用可能!
便利でカンタン
夢は「12億円」だけじゃない ついに開催1000回、スポーツくじが築く未来とは……
お客様の加入を心から歓迎します。
「12億円」で調べると,MEGA BIGというのが今年の2月15日より発売されて居て,キャリーオーバーで最高12億円なのだそうです.新型コロナウイルスのニュースばかりで,MEGA BIGは話題になってないと思うけれど,迷惑メールはしたたかだなぁ.
アマゾンのアカウントを持ってない私にとって,Amazonからのメールは100%迷惑メールなわけなのだが.
件名も差し込み未完成だし,日本に「州」は無いし,ロクインってなんだろう.
そのロクインへのリンクへアクセスすると,結構ちゃんとした様に見えるページに行く模様.
ランディング用のメールがむちゃくそなのに誰がリンクを踏むのだろうかと...でもこのサイトは,まだ今日現在活動中です.怖いな.
件名も差し込み未完成だし,日本に「州」は無いし,ロクインってなんだろう.
そのロクインへのリンクへアクセスすると,結構ちゃんとした様に見えるページに行く模様.
ランディング用のメールがむちゃくそなのに誰がリンクを踏むのだろうかと...でもこのサイトは,まだ今日現在活動中です.怖いな.
いつもとは違うメールアドレスに,売り込みがあった.
ちょっと中国語っぽいけどわからないので,翻訳ツールを使って内容確認.
第124回カントンフェアの出展者データらしい.
これって,トレードショーのようだけれど,2万以上出店があるのか.なんだか規模がすごいな.それに124回って.春秋と年に2回程度やっているっぽい.そうなると60年ほどの歴史があるものか.
China Import and Export Fair (Canton Fair)
https://cantonfair.org.cn/
それでその名簿,300RMBとあるけれど,人民元のことらしい.CNYとRMBは同じものだけれど,呼び方が違うだけの模様.
RMB:Rénmínbì(レンミンビィ)
CNY:Chinese Yuan(チャイニーズ・ユエン)
そして,
CNH:Chinese Hong Kong(チャイニーズ・ホンコン)
というのもあるのか.
ちなみに,300RMB=300人民元は,今日現在のレートで4,643.99円でした.安いね.内容が本物かどうかわからないけれど.
ちょっと中国語っぽいけどわからないので,翻訳ツールを使って内容確認.
第124回カントンフェアの出展者データらしい.
これって,トレードショーのようだけれど,2万以上出店があるのか.なんだか規模がすごいな.それに124回って.春秋と年に2回程度やっているっぽい.そうなると60年ほどの歴史があるものか.
China Import and Export Fair (Canton Fair)
https://cantonfair.org.cn/
それでその名簿,300RMBとあるけれど,人民元のことらしい.CNYとRMBは同じものだけれど,呼び方が違うだけの模様.
RMB:Rénmínbì(レンミンビィ)
CNY:Chinese Yuan(チャイニーズ・ユエン)
そして,
CNH:Chinese Hong Kong(チャイニーズ・ホンコン)
というのもあるのか.
ちなみに,300RMB=300人民元は,今日現在のレートで4,643.99円でした.安いね.内容が本物かどうかわからないけれど.
前回はナリタイ(なりすましメール対策)のサイトがありましたが,現在はこのサギタイの方を熱心に更新しているようです.
ビジネスメール詐欺対策
https://www.sagitai.jp
まぁ,ビジネスマン向けの振り込め詐欺ってことか.ブログの中にあったのだけれど印象的なのはこれ「K さんの BEC 体験談」のところ.
「メールとは別の手段で必ず相手先と直接確認し合う」といところかな.次のサイトでも同じことを書いてある.
フィッシング詐欺メールは現実世界で確認!騙されないためのポイントとは?
https://cybersecurity-jp.com/security-measures/34177
「一般の方に私が勧めるとしたら「見分けることを諦める」ことです。」と「"現実世界で"確認すれば良いのです」ということ.
でも,書かれている通り,腕のある人ほど,机上で確認しようとしてしまうな.俺か.
ビジネスメール詐欺対策
https://www.sagitai.jp
まぁ,ビジネスマン向けの振り込め詐欺ってことか.ブログの中にあったのだけれど印象的なのはこれ「K さんの BEC 体験談」のところ.
「メールとは別の手段で必ず相手先と直接確認し合う」といところかな.次のサイトでも同じことを書いてある.
フィッシング詐欺メールは現実世界で確認!騙されないためのポイントとは?
https://cybersecurity-jp.com/security-measures/34177
「一般の方に私が勧めるとしたら「見分けることを諦める」ことです。」と「"現実世界で"確認すれば良いのです」ということ.
でも,書かれている通り,腕のある人ほど,机上で確認しようとしてしまうな.俺か.
最初,何かの自己啓発サイトかと思った.
ナリタイ
https://www.naritai.jp
なりすましメール対策について,わかりやうくその説明をしていたり,何よりもオープンリレーなどのチェックツールがついています.
「ナリタイ製作委員会」という団体が運営しているそうです.
そしてSPFのチェックツールを使って見たら・・・設定間違いがありました.先ほど修正.
DNSは今でも反映が遅いだろうからなぁ.
ナリタイ
https://www.naritai.jp
なりすましメール対策について,わかりやうくその説明をしていたり,何よりもオープンリレーなどのチェックツールがついています.
「ナリタイ製作委員会」という団体が運営しているそうです.
そしてSPFのチェックツールを使って見たら・・・設定間違いがありました.先ほど修正.
DNSは今でも反映が遅いだろうからなぁ.
久々に迷惑メール専用メールボックスを覗いたら,また来ていました.
ということで,例のサイトをのぞいてみると・・・
フィッシング対策協議会
https://www.antiphishing.jp
けっこうな確率でこちらに届いているようだ.良いサンプルなのかなぁ..
そして気のなるのは,今日,突如として来るようになったこれ.
一見,よく見かける奴だと思うけれど,これには2つの特徴が.
toyota[.]co[.]jpからのメールが来ている.
Delivery Errorメールが来ている
まず,世界のトヨタのメールが奪われる位ことは無いと思うので,SMTPにありがちが偽名で送信したのでしょう.そして2つ目は,私のメアドで迷惑メールを送信したけれど,相手のメアドが無かったのでラーメールが私に帰ってきている状態.
古典的だけれど,オープンリレーを許しているSMTPサーバがあるから偽名で送信できているみたい.そして漏洩したメアドを使って送信しているから,エンベロープFromのメアドにエラーが返却されている.面倒だなぁ.
ということで,例のサイトをのぞいてみると・・・
フィッシング対策協議会
https://www.antiphishing.jp
けっこうな確率でこちらに届いているようだ.良いサンプルなのかなぁ..
そして気のなるのは,今日,突如として来るようになったこれ.
一見,よく見かける奴だと思うけれど,これには2つの特徴が.
まず,世界のトヨタのメールが奪われる位ことは無いと思うので,SMTPにありがちが偽名で送信したのでしょう.そして2つ目は,私のメアドで迷惑メールを送信したけれど,相手のメアドが無かったのでラーメールが私に帰ってきている状態.
古典的だけれど,オープンリレーを許しているSMTPサーバがあるから偽名で送信できているみたい.そして漏洩したメアドを使って送信しているから,エンベロープFromのメアドにエラーが返却されている.面倒だなぁ.
facebookを見ていたら,怪しい広告が紛れ込んで来たので,アクセスして見た.
なんと割引のないApple製品が10分の1以下の価格で販売している! そしてその価格で販売されている数も4700も!
運営会社を見てみる.
特定商取引法で提示が必要な日本人の名前,住所の表示はあるが,電話番号がない.あやしい.
営業時間8時〜18時なので10時間勤務? 休業日は365天.天? 中国語っぽい.翻訳してみる.
中国語だった.化けの皮が剥がれた瞬間か.
平成28年現在で120名も従業員がいるというのだから,さぞ大きな会社だろう.国税庁で調べてみる.
国税庁法人番号公表サイト
https://www.houjin-bangou.nta.go.jp
埼玉県にはそういう会社は存在しないようだ.
まぁ,そんな値段で売られていたら,大ニュースになるからその時点でアウトだね.
なんと割引のないApple製品が10分の1以下の価格で販売している! そしてその価格で販売されている数も4700も!
運営会社を見てみる.
特定商取引法で提示が必要な日本人の名前,住所の表示はあるが,電話番号がない.あやしい.
営業時間8時〜18時なので10時間勤務? 休業日は365天.天? 中国語っぽい.翻訳してみる.
中国語だった.化けの皮が剥がれた瞬間か.
平成28年現在で120名も従業員がいるというのだから,さぞ大きな会社だろう.国税庁で調べてみる.
国税庁法人番号公表サイト
https://www.houjin-bangou.nta.go.jp
埼玉県にはそういう会社は存在しないようだ.
まぁ,そんな値段で売られていたら,大ニュースになるからその時点でアウトだね.
昨日というか昨夜,ブログに書いた迷惑メールですが,調べるとセクストーションスパムという部類なのだそうです.
日本語「セクストーションスパム」登場から1年、再び被害発生か
https://blog.trendmicro.co.jp/archives/22509
流行りのメールが来たって事か...
そしてこのメールは「トレンドマイクロが確認しただけでも300回を超えるトランザクションがあり、合わせて29BTC(本記事執筆時点の価格で日本円2,850万円相当)が送金されていることが確認されました。」という事です.
元のメールで「私は$841が良い価格だと思います!」と記載されていて,今日現在の為替レートで計算すると9万円.1件あたりの被害額として単純計算すると,316人が振り込んでしまったという事かな.
メールによって金額が違うらしいし,ビットコインになるともっと時価な感じになるけれど,大して苦労してなさそうなメールを送るだけで,3000万円近い収入があるのなら,やってしまう人も多いだろうなぁ.
そして,スパムメールだしアダルトだしビットコインだという事,9万円という価格からプロファイリング?すると,老人ではなく35〜50代男性なのかな.
日本語「セクストーションスパム」登場から1年、再び被害発生か
https://blog.trendmicro.co.jp/archives/22509
流行りのメールが来たって事か...
そしてこのメールは「トレンドマイクロが確認しただけでも300回を超えるトランザクションがあり、合わせて29BTC(本記事執筆時点の価格で日本円2,850万円相当)が送金されていることが確認されました。」という事です.
元のメールで「私は$841が良い価格だと思います!」と記載されていて,今日現在の為替レートで計算すると9万円.1件あたりの被害額として単純計算すると,316人が振り込んでしまったという事かな.
メールによって金額が違うらしいし,ビットコインになるともっと時価な感じになるけれど,大して苦労してなさそうなメールを送るだけで,3000万円近い収入があるのなら,やってしまう人も多いだろうなぁ.
そして,スパムメールだしアダルトだしビットコインだという事,9万円という価格からプロファイリング?すると,老人ではなく35〜50代男性なのかな.
類似のものはよくくるのだけれど,今回は今まで来なかったメアドに来た.スペインからはるばると.
最近どこかでメアドが漏洩したのだろうか.
それにしてもBTCウォレットの1H2kisMFkvqQhCFPQChKucNzxErXFZmLgqで検索すると,たくさん出て来るなぁ.
こんにちは!
私は数ヶ月前にあなたの電子メールとデバイスをクラックしたハッカーです。
あなたが訪問したサイトの1つにパスワードを入力君た。それを傍受しました。
もちろん、それを変更したり、すでに変更したりすることができます。
しかし、それは問題ではありません、私のマルウェアは毎回それを更新しました。
私に連絡したり、私を見つけようとしないでください。それは不可能です。
私はあなたのアカウントからメールをあなたに送ったので、
あなたの電子メールを介して、私はあなたのオペレーションシステムに
悪質なコードをアップロードしました。
私は友人、同僚、親戚とのあなたの連絡先のすべてを保存し、
インターネットリソースへの訪問の完全な履歴を保存しました。
また、あなたのデバイスにトロイの木馬をインストールしました。
あなたは私の唯一の犠牲者ではない、私は通常、デバイスをブロックし、
身代金を求める。
しかし、私は頻繁に訪れる親密なコンテンツのサイトにショックを受けました。
私はあなたの幻想にショックを受けている! 私はこれのようなものを見たことがない!
だから、あなたがサイトで楽しむとき(あなたは私が何を意味するか知っています!)
あなたのカメラのプログラムを使用してスクリーンショットを作成しました。
その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。
これらの写真を連絡先に送信すると素晴らしいことがあります。
しかし、あなたがそれを望んでいないと確信しています。
したがって、私は沈黙のためにあなたからの支払いを期待しています。
私は$841が良い価格だと思います!
Bitcoin経由で支払う。
私のBTCウォレット: 1H2kisMFkvqQhCFPQChKucNzxErXFZmLgq
あなたがこれを行う方法を知らない場合 -
Googleに「BTCウォレットに送金する方法」を入力します。 難しくない。
指定された金額を受け取ると、妥協しているすべての材料は自動的に破壊されます。
私のウイルスはあなた自身のオペレーティングシステムからも削除されます。
私のトロイの木馬は自動アラートを持っています。私はこのメールを読んだ後で
メッセージを受け取ります。
私はあなたに支払いのための2日間を与える(正確に48時間)。
これが起こらない場合 -
すべてのあなたの連絡先はあなたの暗い秘密の生活からクレイジーショットを取得します!
あなたが妨害しないように、あなたのデバイスはブロックされます(また、48時間後)
ばかなことしないで!
警察や友人はあなたを確実に助けません...
p.s. 私はあなたに将来のアドバイスを与えることができます。
安全でないサイトにはパスワードを入力しないでください。
私はあなたの慎重さを願っています。
お別れ。
それにしてもBTCウォレットの1H2kisMFkvqQhCFPQChKucNzxErXFZmLgqで検索すると,たくさん出て来るなぁ.
一度流出したメールアドレスは,使われ続ける...
某サイトからメールアドレスが流出して,そのアドレスに向けて定期的にスパムメールが来る.いや,逆にいうとスパムメール専用メアドになっている.
それはそれで面白いので,ハニーポットじゃないけれどウォッチを続けていて,今週来たメールがこれ.
近年流行りの,HTMLメールじゃないことを偽装したメール.公式サイトへのリンクアドレスは,実は違うドメインへの誘導.
面倒なのが,「セキュリティ部」とされているところに記載されている電話番号は,実在する本物の電話番号(三井住友銀行 カード発行部のもの)なので,もうこれだけで偽計業務妨害罪に問われる可能性があるね.
残念ながら,そのドメインはすでに潰されている模様.
フィッシングメールの注意喚起を行っているフィッシング対策協議会のサイトを確認してみたけれど,今回の事例は,まだ掲載されてないようだ.
フィッシング対策協議会 Council of Anti-Phishing Japan
https://www.antiphishing.jp
SMBCをかたるフィッシングメールは,たびたび出ているようだけれど.
そしてHTMLメールのソースを見ると,次のようなアドレスからメールが来ていました.
AWSがあれば世界中どこでも簡単にサイトを構築できるねーって思ったけれど,whoisして見たら意外と...
さくらインターネットでドメインを取っている.取りたてホヤホヤといってもいいでしょう.先入観怖いなー.
某サイトからメールアドレスが流出して,そのアドレスに向けて定期的にスパムメールが来る.いや,逆にいうとスパムメール専用メアドになっている.
それはそれで面白いので,ハニーポットじゃないけれどウォッチを続けていて,今週来たメールがこれ.
近年流行りの,HTMLメールじゃないことを偽装したメール.公式サイトへのリンクアドレスは,実は違うドメインへの誘導.
面倒なのが,「セキュリティ部」とされているところに記載されている電話番号は,実在する本物の電話番号(三井住友銀行 カード発行部のもの)なので,もうこれだけで偽計業務妨害罪に問われる可能性があるね.
残念ながら,そのドメインはすでに潰されている模様.
フィッシングメールの注意喚起を行っているフィッシング対策協議会のサイトを確認してみたけれど,今回の事例は,まだ掲載されてないようだ.
フィッシング対策協議会 Council of Anti-Phishing Japan
https://www.antiphishing.jp
SMBCをかたるフィッシングメールは,たびたび出ているようだけれど.
そしてHTMLメールのソースを見ると,次のようなアドレスからメールが来ていました.
Received: from a2.amazeonco23[.]jp (unknown [104[.]223.154.204])
Domain Information: [ドメイン情報]
[Domain Name] AMAZEONCO23.JP
[登録年月日] 2019/09/04
[有効期限] 2020/09/30
[状態] Active
[最終更新] 2019/09/04 18:31:12 (JST)
Contact Information: [公開連絡窓口]
[名前] さくらインターネット株式会社
[Name] SAKURA Internet Inc.
$
某サイトから流出してしまったメアドへの迷惑メール.巧妙なものってあまりないが,HTMLメールに見えないHTMLメールというのが来た.
よく観察すると日本語が変である.
line.meへのリンクなので一見,正しそうだけれど,実際にはよくわからないアドレスに向いていますね.
次に紹介するのが,Amazonが更新できなかった件.
これも日本語がおかしい.そしてURLが,co.jpに様に見せかけてそうで無いというのが巧妙な点かな.これをスマホとかで受けて見たら,ついクリックしてしまいそう.
これらのメールは日本語がおかしいので判別しやすい様に思うけれど,それらが正しくなって来たら,簡単に判別できなくなるのだろうな.
よく観察すると日本語が変である.
line.meへのリンクなので一見,正しそうだけれど,実際にはよくわからないアドレスに向いていますね.
次に紹介するのが,Amazonが更新できなかった件.
これも日本語がおかしい.そしてURLが,co.jpに様に見せかけてそうで無いというのが巧妙な点かな.これをスマホとかで受けて見たら,ついクリックしてしまいそう.
これらのメールは日本語がおかしいので判別しやすい様に思うけれど,それらが正しくなって来たら,簡単に判別できなくなるのだろうな.
特定のサイトでしか使ってないメールアドレスにスパムメールが来ているので,メールアドレスが流出しているかどうかチェックして見た.
利用したのはhave i been pwned?というサイト.
have i been pwned?
https://haveibeenpwned.com
このサイトは,マイクロソフトの社員が運用しているサイトで,大規模な個人情報漏洩を起こした場合のそのデータが入っているそうで.
使い方は簡単.メールアドレスを入れてボタンを押すだけ.
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)とでました.どういうこと?
詳細は以下に説明が.
「MySpaceは、2008年頃に3億6000万件近くのアカウントを公開するというデータ侵害を受けました。 2016年5月、データは「Real Deal」ダークマーケットWebサイトで売り出され、パスワードの最初の10文字の電子メールアドレス、ユーザー名、およびSHA1ハッシュが小文字に変換され、塩なしで保存されました。正確な違反日は不明ですが、データを分析したところ、公表されるまで8年が経過したことがわかりました。」
まさに,MySpaceにアクセスできなかった件が影響してましたね..
利用したのはhave i been pwned?というサイト.
have i been pwned?
https://haveibeenpwned.com
このサイトは,マイクロソフトの社員が運用しているサイトで,大規模な個人情報漏洩を起こした場合のそのデータが入っているそうで.
使い方は簡単.メールアドレスを入れてボタンを押すだけ.
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)とでました.どういうこと?
詳細は以下に説明が.
「MySpaceは、2008年頃に3億6000万件近くのアカウントを公開するというデータ侵害を受けました。 2016年5月、データは「Real Deal」ダークマーケットWebサイトで売り出され、パスワードの最初の10文字の電子メールアドレス、ユーザー名、およびSHA1ハッシュが小文字に変換され、塩なしで保存されました。正確な違反日は不明ですが、データを分析したところ、公表されるまで8年が経過したことがわかりました。」
まさに,MySpaceにアクセスできなかった件が影響してましたね..
Your account is being used by another person!
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2019/2/5 0:32
某サイトでしか使ってない受信専用メールアドレスに,メールが来るようになった.
んー.個人用のルータで脆弱性が放置されている件が話題になっていたけれど,それを狙った脅しのようだ.
残念ながら,うちのルータはそんなことができないやつだ.
あなたのアカウントは他の人に使われています!
Your account is being used by another person!
Hello!
I have very bad news for you.
12/10/2018 - on this day I hacked your OS and got full access
to your account mailaddress.
So, you can change the password, yes... But my malware
intercepts it every time.
こんにちは!
私はあなたにとって非常に悪い知らせがあります。
12/10/2018 - この日にあなたのOSをハックしてあなた
のアカウントにフルアクセスできるようになりましたmailaddress.
How I made it:
In the software of the router, through which you went online,
was a vulnerability.
I just hacked this router and placed my malicious code on it.
When you went online, my trojan was installed on the OS
of your device.
作り方:
あなたがオンラインにしたルータのソフトウェアには、
脆弱性がありました。
私はこのルーターをハッキングして悪意のあるコードを
載せただけです。
あなたがオンラインになったとき、私のトロイの木馬は
あなたのデバイスのOSにインストールされていました。
残念ながら,うちのルータはそんなことができないやつだ.
登録料金の未納が発生しております.本日ご連絡なき場合,法的手続きに移行します アマゾンカスタマーセンター
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2018/9/27 1:14
夜になって,ケータイに着信があったようなので見て見たら,SMSが昼過ぎに来ていた.
もう,22時過ぎているし失礼なので折り返しの電話は控えます.メッセージくれるときは事前に連絡してくれないと.
あ,それとアマゾンのアカウント持ってないんだけど.
もう,22時過ぎているし失礼なので折り返しの電話は控えます.メッセージくれるときは事前に連絡してくれないと.
あ,それとアマゾンのアカウント持ってないんだけど.
URLを意識しないことも多いけれど,.downloadドメインというのがあるのだなぁ...
こんなメールが来た.
英文のシンプル.感度の高い人が「添付ファイルを開かないで!」と言っていたのだけれど,よく見ると添付ファイルが本質ではない.残念ながら,添付ファイルの部分の画像が荒いので画像ファイルをつけていることがわかる.
ソースファイルを確認.
普通にAタグでURLをリンクしてある.word文書に見せかけの画像ファイルをクリックしたら飛んでいくわけだ.
まずは,直接ソースに書いてあるURLにアクセスしてみた.
なんもない.cgi-binとかWordPressを思わせる部分は,一応見ることができないようになっていた.
URLにSPAMを受けたメールアドレスのパラメータが付いているので,それを存在してなさそうなアドレスに書き換えてアクセスして見たら,本質のものが出た.
gmailのログインをかたる詐欺サイト.パスワードをランダムにいれてみた.
一応,リダイレクトでチェックしているかこれも偽物かもしれないけれど,エラーメッセージはでてきた.パスワードは記録されているでしょう.
ということでURLを確認するとパスワードは普通にURLパラメータとして送信されている単純なものでした.作者はPOST/GETもわからん素人か.
こんなメールが来た.
英文のシンプル.感度の高い人が「添付ファイルを開かないで!」と言っていたのだけれど,よく見ると添付ファイルが本質ではない.残念ながら,添付ファイルの部分の画像が荒いので画像ファイルをつけていることがわかる.
ソースファイルを確認.
Content-type: text/html;
charset="UTF-8"
Content-transfer-encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8">
<title></title>
</head>
<body>
<p><a href=3D"https://newXXXdrive18.downlXXXXoad/wp/file.php?
login=ZZZZZ@XXXXXXX.jp&name=ZZZZZ@XXXXXXXX.jp">
<img border=3D"0" alt=3D"doc (1).gif" src=3D"cid:123456789"
width="200" height="42"></a></p>
<p>Good Day,</p>
<p>Revised Document is for your ref.</p>
<p>Best Regards.</p>
</body>
</html>
まずは,直接ソースに書いてあるURLにアクセスしてみた.
なんもない.cgi-binとかWordPressを思わせる部分は,一応見ることができないようになっていた.
URLにSPAMを受けたメールアドレスのパラメータが付いているので,それを存在してなさそうなアドレスに書き換えてアクセスして見たら,本質のものが出た.
gmailのログインをかたる詐欺サイト.パスワードをランダムにいれてみた.
一応,リダイレクトでチェックしているかこれも偽物かもしれないけれど,エラーメッセージはでてきた.パスワードは記録されているでしょう.
ということでURLを確認するとパスワードは普通にURLパラメータとして送信されている単純なものでした.作者はPOST/GETもわからん素人か.
こんなメールが来ていた.
「今すぐ認証」の部分をクリックすると,Microsoftっぽいログイン画面がでてきて,ユーザIDとパスワードを入れさせる模様.私がアクセスして見たときには,既にサイトは潰されていました.
気になるのは2点.
・このメアドがどこから漏れたか.
・Fromで使われているドメインも,どこから漏れたのか.
Fromのメアドは岩見沢市が管理しているドメインが使われているのだけれど,メールだけした使われてなく,たくさんの病院で使われている模様.メアド的にはランダム偽装なのは間違い無いのだけれど.
どこで使っていたメアドが漏れたのかなぁ.ショックだ.
from:マイクロソフトセキュリティチーム <ocjbognrx@xxxxxxxxxxx.jp>
Subject:警告!!マイクロソフトのプロダクトキーが不正コピーされている恐れがあります。
Body:
セキュリティに関する警告!!
あなたのオフィスソフトの授権が間もなく終わってしまう可能性があります。
マイクロソフトセキュリティチームの調べによれば、あなたのオフィスソフトのプロダクト
キーが何者かにコピーされている不審の動きがあります。
何者かがあなたのオフィスソフトのプロダクトキーを使って、他のソフトを起動しようと
しています。こちらからはあなたの操作なのかどうか判定できないため、検証作業をする
ようお願いします。
検証作業が行われていない場合、あなたのオフィスソフトのプロダクトキーの授権状態が
まもなく終わりますので、ご注意ください。
今すぐ認証
*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正なコピーを
防止する技術で、手続きは簡単に実行できます。 またこの手続きは匿名で行われるので、
お客様のプライベートな情報は保護されています。ご安心ください。
気になるのは2点.
・このメアドがどこから漏れたか.
・Fromで使われているドメインも,どこから漏れたのか.
Fromのメアドは岩見沢市が管理しているドメインが使われているのだけれど,メールだけした使われてなく,たくさんの病院で使われている模様.メアド的にはランダム偽装なのは間違い無いのだけれど.
どこで使っていたメアドが漏れたのかなぁ.ショックだ.
某メールサーバへの海外からの不正サクセスの試みが増えてきた.現在のトレンドはイタリアドメイン.ブルートフォースの回数も半端ないので,そろそろ閉じる.
データ通信専用契約のスマホに,SMSで次のようなメッセージが来た.
「最終通告です.有料動画閲覧履歴があり,登録解除の連絡を頂けない場合,至急身辺調査及び強制執行の法的措置に移ります.」この文章からすると,有料動画を閲覧できるのだから,会員登録していると想定できます.登録解除すると会員じゃなくなるので,事業者側としては不利益なのでは? それと強制執行できるって国家権力的なものだと思うけれど...
それで12月に来たやつを思い出した.こっちは音声回線しか契約してないケータイ.
「有料動画閲覧履歴があり,登録解除のご連絡を本日頂けないと,身辺調査及び債権移行となりますので至急ご連絡ください.相談窓口」・・・にたような文書だなぁ.
どっちのSMSも身辺調査されるんだな.なんだろう.調査しないと解らないくらい登録情報を持ってないということか.
ま,どうも毎月1日にSMSを送ってくるみたいだ.こういうのは警視庁のサイバー犯罪対策に連絡すれば良いのかなぁ...
それで困ったことが.
「最終通告です.有料動画閲覧履歴があり,登録解除の連絡を頂けない場合,至急身辺調査及び強制執行の法的措置に移ります.」この文章からすると,有料動画を閲覧できるのだから,会員登録していると想定できます.登録解除すると会員じゃなくなるので,事業者側としては不利益なのでは? それと強制執行できるって国家権力的なものだと思うけれど...
それで12月に来たやつを思い出した.こっちは音声回線しか契約してないケータイ.
「有料動画閲覧履歴があり,登録解除のご連絡を本日頂けないと,身辺調査及び債権移行となりますので至急ご連絡ください.相談窓口」・・・にたような文書だなぁ.
どっちのSMSも身辺調査されるんだな.なんだろう.調査しないと解らないくらい登録情報を持ってないということか.
ま,どうも毎月1日にSMSを送ってくるみたいだ.こういうのは警視庁のサイバー犯罪対策に連絡すれば良いのかなぁ...
それで困ったことが.
前回調べた時は1118件のスパムメールが溜まっていたのだけれど,あれからnnnヶ月・・・再度数えたら3928通弱だね.624日なので,1日当たり6.3通か.
ロシアからのSPAMメールが大半なので,それらをブロックする事にした.さて,その後どうなるのか...
Mac OS X 10.6 Server Admin: 特定のサーバからの SMTP 接続を拒否する
https://support.apple.com/kb/PH8753?locale=ja_JP&viewlocale=ja_JP
ロシアからのSPAMメールが大半なので,それらをブロックする事にした.さて,その後どうなるのか...
Mac OS X 10.6 Server Admin: 特定のサーバからの SMTP 接続を拒否する
https://support.apple.com/kb/PH8753?locale=ja_JP&viewlocale=ja_JP
SPAMメールはアルファベットものが多いので,単純に2バイト文字が入ってなければSPAM率を挙げて判断するのが一般的.たまに中国語のメールはすり抜けるらしいけれど,意外と中国語のSPAMは無い.
そんな時にスパムフィルターをすり抜ける技の1つにワードサラダを使う事があるそうです.
Wikipediaによると,「ワードサラダ(Word salad)とは、コンピュータによって自動生成された、文法は正しいが、意味が支離滅裂である文章のこと。」なのだそうです.どちらかというとアフィリエイトブログに沢山使われているようで.
現在は支離滅裂な文書しか作れないようだけれど,本気になれば「受けの良い冒険小説」とかなら作れちゃうんじゃなかろうか.魔法使いとか怪獣とか聖なる剣とか,出てくる要素は似たり寄ったりなので.
そんな時にスパムフィルターをすり抜ける技の1つにワードサラダを使う事があるそうです.
Wikipediaによると,「ワードサラダ(Word salad)とは、コンピュータによって自動生成された、文法は正しいが、意味が支離滅裂である文章のこと。」なのだそうです.どちらかというとアフィリエイトブログに沢山使われているようで.
現在は支離滅裂な文書しか作れないようだけれど,本気になれば「受けの良い冒険小説」とかなら作れちゃうんじゃなかろうか.魔法使いとか怪獣とか聖なる剣とか,出てくる要素は似たり寄ったりなので.
いくつかの施策をしている中で,ブラックリストデータベースを使ってみたら効果があった.
それでも最近はSASL LOGIN authentication failedの方が気になる.半端無い回数になっているので...
---------------------
RCPT
blocked using all.rbl.jp (total: 1)
1 210.183.179. 38
blocked using zen.spamhaus.org (total: 6)
2 hinet .net
1 veloxzone. com .br
1 147.30.10. 236
1 178. 122.108.42
1 193. 34.173.27
それでも最近はSASL LOGIN authentication failedの方が気になる.半端無い回数になっているので...
SPAMメールが多くなって来た.昨晩は5分間で4〜10通程度が継続している模様.そうは言っても継続的にでているわけだからそれなりのストレスもある.
ただし週刊グラフでみると先週の月曜日〜火曜日の間の方が多かった.
最近の傾向は,Fromアドレスがjpドメインの物が多い.当然FromはRecipientToじゃないのだけれど海外アドレスを止められないSPAMフィルタが存在するかも...
ただし週刊グラフでみると先週の月曜日〜火曜日の間の方が多かった.
最近の傾向は,Fromアドレスがjpドメインの物が多い.当然FromはRecipientToじゃないのだけれど海外アドレスを止められないSPAMフィルタが存在するかも...
maillogをみて pflogsummで集計してみたら,沢山SASL LOGIN authentication failedがでていた.
というかこれはブルートフォース.アタックアクセスの多いIPアドレスをwhoisしてみたらこんな感じ.
第1位 オランダのECATELという会社 http ://www.ecatel.net/
事業内容をみるとデータセンタ事業をやっているみたいで,その中の腹貸しているサーバからの模様.
第2位 台湾の学校 http ://www.edu.tw
学校だから,しかたないか...
第3位 中国の何か fjdcb.fz.fj.cn
なんだかwwwにアクセスすると重たいページにとばされるので途中で止めた.だからいったいなんなのかは不明.
他にも沢山あったけれど,このトップ3が70%を占める.
とりあえずざっくりと/8でFWでrejectしてみる.
というかこれはブルートフォース.アタックアクセスの多いIPアドレスをwhoisしてみたらこんな感じ.
第1位 オランダのECATELという会社 http ://www.ecatel.net/
事業内容をみるとデータセンタ事業をやっているみたいで,その中の腹貸しているサーバからの模様.
第2位 台湾の学校 http ://www.edu.tw
学校だから,しかたないか...
第3位 中国の何か fjdcb.fz.fj.cn
なんだかwwwにアクセスすると重たいページにとばされるので途中で止めた.だからいったいなんなのかは不明.
他にも沢山あったけれど,このトップ3が70%を占める.
とりあえずざっくりと/8でFWでrejectしてみる.
ちょっとメールサーバの調子を見ていたら,SPAM判定されたメールが1118通も溜まっていました.暫く見なかったからなぁ...これくらい迷惑メールが溜まってしまうと,消すのに一苦労.これが動いているお陰で無駄な労力が少なくて良いのだけれど,サーバ能力も無限じゃないのでたまに消してあげないと! しかし,SPAMエンジンも完璧ではないので,ただ消すだけだと間違ってしまうかもしれない.
そんな時に再度SPAM判定と一括で消してくれるソフトが,Mac用だけれどMyPopBarrierです.サーバ上で直接消してくれるのでネットワークトラフィック等も低減できます.このサイトでダウンロードできます.
Site de Famille Rob
http://throb.pagesperso-orange.fr/site/Prg_AutresRB.html#MyPopBarrier
Windows版もあるようです. 日本語に対応してないけれど,ほとんどのSPAMはアルファベット対応だからその意味ではこれで十分ですね.たまに実行する様にスケジューラにいれときました.
グラフをみているとここ数日SPAMが増えてしまった.
wordpressで運営しているサイトでSPAMコメントが増えたのでブロックを検討.
Akismetがスタンダードのようですけど商用利用だと有料と言う事なので躊躇してみた.そして調べてたどり着いたのはThrows SPAM Awayという日本製.しかしあまり効果が無い状態だ.
・SPAM判定されたiPアドレスは自動ブロック→IPアドレスを変更してくる
・コメントに日本語が含まれてないとSPAM→中国語っぽいのは通過してしまう
そもそもSPAMコメントの反応が速くて,新規に情報公開した直後にアクセスがあるのです.RSSの更新PINGを情報源としてやってくるのだろう.
Akismetがスタンダードのようですけど商用利用だと有料と言う事なので躊躇してみた.そして調べてたどり着いたのはThrows SPAM Awayという日本製.しかしあまり効果が無い状態だ.
・SPAM判定されたiPアドレスは自動ブロック→IPアドレスを変更してくる
・コメントに日本語が含まれてないとSPAM→中国語っぽいのは通過してしまう
そもそもSPAMコメントの反応が速くて,新規に情報公開した直後にアクセスがあるのです.RSSの更新PINGを情報源としてやってくるのだろう.
