ブログ - スパム・フィッシングカテゴリのエントリ
株式会社メタップスペイメントにおけるお客さま情報の流出について というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/23 11:09
もうなにをやっているか,やっている人たちもわかってないんだろうな.
MyJCBといいつつ中身はauを騙っている.
本文は昨日のauのものと一致しますね.
昨日のフィッシングメール
通報だけしておきました.
MyJCBといいつつ中身はauを騙っている.
本文は昨日のauのものと一致しますね.
昨日のフィッシングメール
通報だけしておきました.
DMMを騙るフィッシングメール 「DMM セキュリティ警告: サインインが検出されました」
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/15 15:28
カミさんが見慣れないフィッシングメールが来たというので確認してみた.
SpamAssassinもスコアをつけてないしカスペルスキーもX-KLMS-AntiSpam-Rate: 0をつけてる.SPFとDKIM,DMARCをpassしているしrDNSでも名前が引ける点なども巧妙な感じ.
最近多いアマゾンやえきねっと,メルカリとは違う特徴のあるフィッシングメールでした.うちとしては新規参入業者という感じ.偽装URLのチェックもしてあるし.
メールはテキストだけれどutf8で,リンク先はdmm-acount[.]comとなって長いランダム数とメールアドレスがパラーメータになっている.
パラメータの中身をちょっと変えてメアドを変えてアクセスしてみた.
SpamAssassinもスコアをつけてないしカスペルスキーもX-KLMS-AntiSpam-Rate: 0をつけてる.SPFとDKIM,DMARCをpassしているしrDNSでも名前が引ける点なども巧妙な感じ.
最近多いアマゾンやえきねっと,メルカリとは違う特徴のあるフィッシングメールでした.うちとしては新規参入業者という感じ.偽装URLのチェックもしてあるし.
メールはテキストだけれどutf8で,リンク先はdmm-acount[.]comとなって長いランダム数とメールアドレスがパラーメータになっている.
パラメータの中身をちょっと変えてメアドを変えてアクセスしてみた.
ヨドバシ?ドット?コム:「お客?\x98\x94情\x88蟆\x89涓\xFC依\xEEm受付のご\xDFB\xBDj
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/15 14:44
なんか変なメールが来たけれども,リンク先が正しいというマレな?フィッシングメール. ちなみにメールの受信者はマイスペースでの漏洩アカウントでヨドバシカメラの非会員.
URLリンクも偽装されてないし,リンク先もセイシキナヨドバシカメラのサイトだというのはSSL証明書を参照して確認できた.
このメール,よくみるとフッターの部分,2021年になっているね.
SpamAssassinのスコアがあったので評価してみる.
URLリンクも偽装されてないし,リンク先もセイシキナヨドバシカメラのサイトだというのはSSL証明書を参照して確認できた.
このメール,よくみるとフッターの部分,2021年になっているね.
SpamAssassinのスコアがあったので評価してみる.
ピーティックスで漏洩したメールアドレスと日本語氏名を使って,フッシングメールが来ました.
定番の"X-mailer: Foxmail 6"が含まれているのでもう..w
今回はauを騙るわけですが,ログインフォームとソースコードに面白い特徴がありました.文書を書くのが面倒なので画像で説明していきます.
定番の"X-mailer: Foxmail 6"が含まれているのでもう..w
今回はauを騙るわけですが,ログインフォームとソースコードに面白い特徴がありました.文書を書くのが面倒なので画像で説明していきます.
【重要 JR西日本:Club J-WEST】確認された情報 というフィッシングメールを分析してみた
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/11 18:08
1月17日ごろ以来,昨日から大量に迷惑メールが配信されている模様.今のところウチでは11通.
マイスペースの漏洩,ピーティックスの漏洩とデフォルト設置アカウントの3種類ともに満遍なく来ていますね.そうとうのばらまきだろうかと.
しかしビットコインで支払いは確認できていません.
https://www.blockchain.com/btc/address/1QKeX2cZmxgFPL91BACieuV3guuTDqLGLo
こんなに頻繁にメール送ってくるとネ.
ただ今回気になるのは,うちのSpamAssassionはスコアを付けませんでした.すり抜けている.
どこから送られているのか,IPアドレスを調べたらベトナム,中国,シンガポール,韓国,ブラジル,インド,ガボン,ペルー,イスラエルという感じでした.家庭用と思われる固定回線とモバイル回線がありますね.サーバからでは無いっぽい.
モバイル回線と言っても国によっては固定回線の代わりの様に使っているところもありそう.
送信IPアドレスが何かしらのブラックリストに入ってない&回線種類がプロバイダ系だと過検知にならないとかなのかも?
マイスペースの漏洩,ピーティックスの漏洩とデフォルト設置アカウントの3種類ともに満遍なく来ていますね.そうとうのばらまきだろうかと.
しかしビットコインで支払いは確認できていません.
https://www.blockchain.com/btc/address/1QKeX2cZmxgFPL91BACieuV3guuTDqLGLo
こんなに頻繁にメール送ってくるとネ.
ただ今回気になるのは,うちのSpamAssassionはスコアを付けませんでした.すり抜けている.
どこから送られているのか,IPアドレスを調べたらベトナム,中国,シンガポール,韓国,ブラジル,インド,ガボン,ペルー,イスラエルという感じでした.家庭用と思われる固定回線とモバイル回線がありますね.サーバからでは無いっぽい.
モバイル回線と言っても国によっては固定回線の代わりの様に使っているところもありそう.
送信IPアドレスが何かしらのブラックリストに入ってない&回線種類がプロバイダ系だと過検知にならないとかなのかも?
最近誰かがあなたのAppleアカウントにログインしました。 Mailchimpから返信
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/10 13:07
Apple IDを搾取しようとするフィッシングメールに,Please report abuseというヘッダがあったので,そこに記載のあるmailchimpというメール送信業者にレポートしてみたら回答がありました.
引用:
内容の真偽は不明だけれど,早い段階で返信が来たのはとても好感度が高い.
でもメールヘッダまで偽装したとなると,メール配信には詳しいスパム業者ってことかな.X-Spam-Status: No, score=3.01で,一番スコアが高いのはINVALID_MSGID=1.167,その次はFUZZY_APPLE=1でした.Obfuscated "apple"(難読化されたApple)だって.
引用:
Hello,
Our delivery team has confirmed these emails did not originate from Mailchimp's servers.
Unfortunately the people who sent the email faked Mailchimp's header information and unsubscribe links in order to make it appear like it originated with Mailchimp.
If you have any other questions, please let us know.
こんにちは。
弊社の配信チームが、これらのメールがMailchimpのサーバーから発信されたものではないことを確認しました。
残念ながら、このメールを送信した人は、Mailchimpのヘッダー情報と購読解除のリンクを偽造し、Mailchimpから送信されたように見せかけました。
その他、ご不明な点がございましたら、ご連絡ください。
内容の真偽は不明だけれど,早い段階で返信が来たのはとても好感度が高い.
でもメールヘッダまで偽装したとなると,メール配信には詳しいスパム業者ってことかな.X-Spam-Status: No, score=3.01で,一番スコアが高いのはINVALID_MSGID=1.167,その次はFUZZY_APPLE=1でした.Obfuscated "apple"(難読化されたApple)だって.
【重要】メルカリ本人確認のお知らせ 【最終警告】メルカリ からの緊急の連絡 【mercari】個人情報確認
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/10 12:46
メルカリを騙るフィッシングメールの勢いが止まらない.メールの時点でSpamAssassinのスコアも高いし,文面もほぼ同じだしメルカリ使ってないので詐欺だとわかるけれど,ずっとさまざまなブラウザでもロックダウンされないなと思っていたのだけれど,リンク先のURLを見て理由がわかりました.
大量にウクライナへの寄付をつのるSubject: Help Ukraineが来てから3日ほど経過したけれど,またポツポツ来る様になってきた.
本文は全く同じものなので,今回はSpamAssassinのメールヘッダについて確認してみる.
スコアが22.5なんてのは初めてみた.
BITCOIN_XPRIOはBitcoin + priorityのことでビットコインのアドレスが載っているからかなぁ.
DOS_OE_TO_MX=は,X-MailerがMicrosoft Outlook Express 6を示している事.
HDR_ORDER_FTSDMCXX_NORDNSはスパムと同様のヘッダ順という特徴にrDNS設定が無いので怪しい.
MIMEOLE_DIRECT_TO_MXは,Microsoftのメール製品が直接メールサーバに接続している
RATWARE_NO_RDNSはMessage-IDが怪しい.
RCVD_IN_BL_SPAMCOP_NETは,spamcop.netのブラックリストに登録されている.
RCVD_IN_PSBLは,Passive Spam Block Listに登録されている.
RCVD_IN_VALIDITY_RPBLは,senderscore.orgで登録されている.
XPRIOというのはメールヘッダのX-Priorityの事の様で,今回は3が設定されていました.暗黙値として3は「普通」なので,フィッシングメールの手口にありそうな「急がせるメールでは無い」と言えるでしょうが,X-Priorityをつけている時点で,昨今のメール事情,マナー的にはアヤシイと言えるってことかな.
本文は全く同じものなので,今回はSpamAssassinのメールヘッダについて確認してみる.
X-Spam-Status: Yes, score=22.522 ✅
tagged_above=2
required=6
tests=[
BITCOIN_XPRIO=1.677, 🈁
DATE_IN_FUTURE_06_12=0.001,
DOS_OE_TO_MX=3.086,
HDR_ORDER_FTSDMCXX_DIRECT=1,
HDR_ORDER_FTSDMCXX_NORDNS=3.013, 🈁
HTML_MESSAGE=0.001,
MIMEOLE_DIRECT_TO_MX=1.825, 🈁
NO_FM_NAME_IP_HOSTN=0.001,
PDS_BTC_ID=0.498,
PDS_BTC_MSGID=0.001,
RATWARE_NO_RDNS=2.996,🈁
RCVD_IN_BL_SPAMCOP_NET=1.246, 🈁
RCVD_IN_PSBL=2.7,🈁
RCVD_IN_VALIDITY_RPBL=1.284,🈁
RDNS_NONE=1.274,
SPF_NONE=0.001,
T_SCC_BODY_TEXT_LINE=-0.01,
XPRIO=1.928
XPRIOというのはメールヘッダのX-Priorityの事の様で,今回は3が設定されていました.暗黙値として3は「普通」なので,フィッシングメールの手口にありそうな「急がせるメールでは無い」と言えるでしょうが,X-Priorityをつけている時点で,昨今のメール事情,マナー的にはアヤシイと言えるってことかな.
【メルカリ】お買い物で使える3000円分ポイントがもらえる! というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/9 17:42
cPanel is delaying (4) incoming messages というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/9 16:43
cPanelというWebベースのサーバ管理ツールからのメールを偽装して,サイトの管理者向けに発信しているフィッシングメールがきました.ちなみにcPanelは使っていないサイト向けです.
この件はGoogleのFirebaseを使ってセキュリティゲートウェイ製品をすり抜け,サイトの管理者をターゲットにしているということです.
引用: 今回宛先となったメアドは漏洩したものではなく,サイト運営者なら設置すべきかなと言われているwebmasterというメアド.postmasterとかmailer-daemonと同じ.ちなみに時間差でinfo宛にも同じ内容のフィッシングメールが来ていました.
急がされているけれど,後回しにしていたのでメールが来てから10日くらい経っている・・・
指定されたURLにアクセスすると次の様な警告が.
この件はGoogleのFirebaseを使ってセキュリティゲートウェイ製品をすり抜け,サイトの管理者をターゲットにしているということです.
引用:
You have some incoming messages that are placed on hold.
Kindly RE-ACTIVATE your webmaster@ドメイン account below to access incoming messages.
Activation expires after 2hours from 2/28/2022 6:48:46 a.m. and your domain ドメイン will be blocked
受信したメッセージが保留になっているものがあります。
受信メッセージにアクセスするには、以下の webmaster@ドメイン アカウントを再アクティブ化してください。
有効期限は2/28 6:48:46 a.m.から2時間で、ドメインのドメインはブロックされます。
急がされているけれど,後回しにしていたのでメールが来てから10日くらい経っている・・・
指定されたURLにアクセスすると次の様な警告が.
Apple IDがロックされているというフィッシングメールが来た.
]
24時間以内にアクセスしろと記載されているけれど,もう48時間以上経過したが,アクセスしてみた.
「今すぐ確認」のボタンの色合いが,Appleが使っているテーマカラー,デザインでちょっと古いんだよね.その部分に違和感がある.送信者は古いmacOSを使っているのかな? いやMac OS X時代か.
誘導先のURLにアクセスしてみるとこんな感じ.
]24時間以内にアクセスしろと記載されているけれど,もう48時間以上経過したが,アクセスしてみた.
「今すぐ確認」のボタンの色合いが,Appleが使っているテーマカラー,デザインでちょっと古いんだよね.その部分に違和感がある.送信者は古いmacOSを使っているのかな? いやMac OS X時代か.
誘導先のURLにアクセスしてみるとこんな感じ.
VISAカードを騙るフィッシングメールが来て,まだサイトが稼働していたので確認してみた.
メールアドレスは三井住友カードのVPassを名乗っているのに,三菱UFJのニコスのみと記載がしてあったり,クカードブランドは4種類あったり,カード番号はダイナースの番号でもOKだったりしました.
生年月日も13月32日が通用するくらいのザルサイト.
メールアドレスは三井住友カードのVPassを名乗っているのに,三菱UFJのニコスのみと記載がしてあったり,クカードブランドは4種類あったり,カード番号はダイナースの番号でもOKだったりしました.
生年月日も13月32日が通用するくらいのザルサイト.
うちのメールサーバには,存在したことがないメールアドレスにメールが来ることがあるのだけれど,user unknownのエラーメールを捕獲して転送して興味深く観察している.それらのアドレスに来るものは基本的にスパムメール.
最近は,マイスペースやピーティックスで漏洩したメアドには,アマゾンやメルカリを騙るフィッシングメールが大量に来ているけれど,そのuser unknownになっているメアドにはあまりメール来ないなぁと思っていたら,今日,急に来始め,それがHelp Ukraine.
ちなみにuser knownは10アカウントくらい持っているのでスパムキャンペーンが始まったという傾向がわかるという奇特な状態...
本文はこんな感じ.
最近は,マイスペースやピーティックスで漏洩したメアドには,アマゾンやメルカリを騙るフィッシングメールが大量に来ているけれど,そのuser unknownになっているメアドにはあまりメール来ないなぁと思っていたら,今日,急に来始め,それがHelp Ukraine.
ちなみにuser knownは10アカウントくらい持っているのでスパムキャンペーンが始まったという傾向がわかるという奇特な状態...
本文はこんな感じ.
微妙に巧妙なフィッシングメール.
「保留中のメッセージを回復するための通知」という件名と意味から,プロバイダが注意を出していることが多い模様.
myspaceで流出したメールアドレスの,ドメイン部分を使って,supportのFQDNを生成していますが,実際には別のサイトへのリンク.uidの後ろには流出したメールアドレスが使われているので,このままアクセスするとそのメールが到達したことがアクセス先のログに残る事になる.
よって,FQDN生成ルールに従って,あるのかどうか不明な警視庁のFQDNとメアドを作ってアクセスしてみた.
「保留中のメッセージを回復するための通知」という件名と意味から,プロバイダが注意を出していることが多い模様.
myspaceで流出したメールアドレスの,ドメイン部分を使って,supportのFQDNを生成していますが,実際には別のサイトへのリンク.uidの後ろには流出したメールアドレスが使われているので,このままアクセスするとそのメールが到達したことがアクセス先のログに残る事になる.
よって,FQDN生成ルールに従って,あるのかどうか不明な警視庁のFQDNとメアドを作ってアクセスしてみた.
不自然すぎる漢字が使われている.
「メールを受信したらすぐに关连情报を确认して制限を解除してください。」とあるけど「関連情報を確認」だそうです.
情報確認するだけで「5000円の割引き」というのは,金額が多い.カードローンを組んでもらえるのは500円のクオカードなのに!
50円とか50ポイントくらいなら信憑性が高くなると思うけど,日本人が5000円をどれくらいの価値観で捉えているのか解ってない人の犯行.
mercari.jpで送信しているので,spf=hardfailでdmarc=failですね.あ,でもこれもクワラルンプールでドメインを取っているので手口が皆同じ.
「メールを受信したらすぐに关连情报を确认して制限を解除してください。」とあるけど「関連情報を確認」だそうです.
情報確認するだけで「5000円の割引き」というのは,金額が多い.カードローンを組んでもらえるのは500円のクオカードなのに!
50円とか50ポイントくらいなら信憑性が高くなると思うけど,日本人が5000円をどれくらいの価値観で捉えているのか解ってない人の犯行.
mercari.jpで送信しているので,spf=hardfailでdmarc=failですね.あ,でもこれもクワラルンプールでドメインを取っているので手口が皆同じ.
千葉銀行を騙るフィッシングメール.
なんか文書が途中で切れてるなぁ.
誘導先のサイトは既に404でした.そして千葉銀行の公式サイトに3月4日付で注意情報がでていますね.即日対応していると言うことは,優秀なSOCチームがあるということかな.
それだけじゃ面白くないのだが,本文にあるナビダイヤルの06で始まる電話番号,「三井住友カード株式会社大阪本社/会員向け総合インフォメーション」の番号の模様.
あとは,メールはspf=softfailと評価されていたこと.
ちばカードローンに申し込むと,乃木坂46オリジナルQUOカードもらえるのか・・・利用開始後,即日解約しても貰えないみたいだ.
引用:
ちばぎんカードローン乃木坂46のオリジナルQUOカードプレゼントキャンペーン
https://www.chibabank.co.jp/campaign/cardloan/
なんか文書が途中で切れてるなぁ.
誘導先のサイトは既に404でした.そして千葉銀行の公式サイトに3月4日付で注意情報がでていますね.即日対応していると言うことは,優秀なSOCチームがあるということかな.
それだけじゃ面白くないのだが,本文にあるナビダイヤルの06で始まる電話番号,「三井住友カード株式会社大阪本社/会員向け総合インフォメーション」の番号の模様.
あとは,メールはspf=softfailと評価されていたこと.
ちばカードローンに申し込むと,乃木坂46オリジナルQUOカードもらえるのか・・・利用開始後,即日解約しても貰えないみたいだ.
引用:
対象となるお客さま
2022年6月30日(木)時点で「ちばぎんアプリ」をご利用中の方で、(1)(2)いずれかの条件を満たした個人のお客さまが対象となります。
キャンペーン期間中に対象商品を新規にご契約し、契約日の属する月の翌月末にお借入残高のある方。
キャンペーン期間中に対象商品をお申込みいただき、2022年6月30日(木)までに新規にご契約し、契約日の属する月の翌月末にお借入残高のある方。
ちばぎんカードローン乃木坂46のオリジナルQUOカードプレゼントキャンペーン
https://www.chibabank.co.jp/campaign/cardloan/
えきねっとを騙るフィッシングメール えきねっとアカウントの自動退会処理について その2
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/3/4 16:44
ここ数日,えきねっとを騙るフィッシングメールがよく来ます.昨日,アクセスできたフィッシングサイトは,フィッシング協議会とGoogle Safe Browsingには報告したことが効いたのか夜には閉鎖されていました.
今日はこのメール.
アマゾンのフィッシングメールを転用したのがよくわかる点.騙しリンクにアクセスしてみると次の様なページが.
今日はこのメール.
アマゾンのフィッシングメールを転用したのがよくわかる点.騙しリンクにアクセスしてみると次の様なページが.
ちょっとわけあってスクショが暗いのだけれど.到着してホヤホヤで,まだフィッシングサイトが稼働していたので調査してみた.
VirusTotalでは評価がまだなくて,なんとOWASP ZAPの分析を回避していますね.
取り急ぎ,フィッシング協議会とGoogle Safe Browsingには報告しておいたけれど...
VirusTotalでは評価がまだなくて,なんとOWASP ZAPの分析を回避していますね.
取り急ぎ,フィッシング協議会とGoogle Safe Browsingには報告しておいたけれど...
今朝一番で来ていたMyJCBのフィッシングメール.
早速誘導先サイトにアクセスすると,まだロックアウトされてない状態.
とりあえず適当にクレジットカード番号の様なものを入力しようとすると,ちゃんと画面上はエラーがでた.
エラー警告は表示されるけれど,次の画面に遷移位できました.作りとしては幼稚.
誘導された先のページもチェックは行われていて,こちらはログインIDの桁数があって,何か入力すると本物のサイトに誘導されました.
ちょっとフィッシングサイトの検査をしていて,robots.txtが置いてあることに気づいたので,中身を見てみた.
tool.chinaz[.]comというサイトを使って生成された様だけれど,なんのサイトなのかアクセスしてみると.
アモイ・バイ・ユニオン・テクノロジーズ・リミテッド?(厦门总公司)という会社で,2005年創業のSEOや中国のニュースを伝えるネット企業の模様.robots.txt生成ツールを提供している様だが,正規のものでしょう.あやしい感じは無い.
robots.txtのSitemap部分はデフォルトのままの様なので,よくわかってない技術力の高く無い人が設置したのだろうな.
早速誘導先サイトにアクセスすると,まだロックアウトされてない状態.
とりあえず適当にクレジットカード番号の様なものを入力しようとすると,ちゃんと画面上はエラーがでた.
エラー警告は表示されるけれど,次の画面に遷移位できました.作りとしては幼稚.
誘導された先のページもチェックは行われていて,こちらはログインIDの桁数があって,何か入力すると本物のサイトに誘導されました.
ちょっとフィッシングサイトの検査をしていて,robots.txtが置いてあることに気づいたので,中身を見てみた.
tool.chinaz[.]comというサイトを使って生成された様だけれど,なんのサイトなのかアクセスしてみると.
アモイ・バイ・ユニオン・テクノロジーズ・リミテッド?(厦门总公司)という会社で,2005年創業のSEOや中国のニュースを伝えるネット企業の模様.robots.txt生成ツールを提供している様だが,正規のものでしょう.あやしい感じは無い.
robots.txtのSitemap部分はデフォルトのままの様なので,よくわかってない技術力の高く無い人が設置したのだろうな.
お客様:Amazon プライム会費のお支払い方法に問題があります、支払い情報を更新する
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/2/26 1:41
宛先の差し込みができてないフィッシングメールが増えていると思うけれど.
今回の場合,SpamAssasinのスコアに注目.
このHOSTED_IMG_DIRECTというのは,大規模なCDNやeコマースサイトの画像ファイルへの直接リンクがあるという評価.
該当のメールを,Thunderbirdで確認するとこの様に.
今回の場合,SpamAssasinのスコアに注目.
X-Spam-Status: Yes,
score=7.874 tagged_above=2 required=6
tests=[HOSTED_IMG_DIRECT_MX=2.395, 🈁
HTML_MESSAGE=0.001,
HTML_TEXT_INVISIBLE_STYLE=2.917,
RCVD_IN_VALIDITY_RPBL=1.284,
RDNS_NONE=1.274,
SPF_HELO_NONE=0.001,
SPF_NONE=0.001,
T_REMOTE_IMAGE=0.01,
T_SCC_BODY_TEXT_LINE=-0.01,
URIBL_BLOCKED=0.001]
このHOSTED_IMG_DIRECTというのは,大規模なCDNやeコマースサイトの画像ファイルへの直接リンクがあるという評価.
該当のメールを,Thunderbirdで確認するとこの様に.
アマゾン,メルカリなどのサイトとJCB,三井住友のVISAあたりがフィッシングメールの四天王?だけれど,最近ペイデイが増えてきたね.
誘導されるがまま,アクセスしてみているのだけれど,メール到着から時間が経っているというのもあり,ブラウザによっては到達できません.
以外にも,これまでテイクダウンのスピードが速かったと思っていたMicrosoft Edgeより,SafariやFirefoxの方が対応が速かった.でもFirefoxはGoogle Safe Browsingを使っていると思うんだけど,まぁ違いがあるってことか.
誘導されるがまま,アクセスしてみているのだけれど,メール到着から時間が経っているというのもあり,ブラウザによっては到達できません.
以外にも,これまでテイクダウンのスピードが速かったと思っていたMicrosoft Edgeより,SafariやFirefoxの方が対応が速かった.でもFirefoxはGoogle Safe Browsingを使っていると思うんだけど,まぁ違いがあるってことか.
迷惑メールを受けとって電磁的被害(無駄なコンピュータリソース(電気代)の消費)という被害にあったので,偽ブランドサイトを閉鎖させたいために,Google Safa Browsingに通報してみた.
通報の報告はThunderbirdで右クリック.
引用:
ちょとだけコメントを入れて送信.
引用:
今日一日の善行...ちょうど12:00pmごろに通報したから,数時間後にどうなっているか確認かな.
通報の報告はThunderbirdで右クリック.
引用:
Thank you for helping us keep the web safe from phishing sites. Phishing Protection in Firefox is powered by Google, and the information you submit below will be sent to Google and used to improve this feature. Your report will be anonymous in accordance with Google's privacy policy.
If you believe the Phishing Protection feature is warning users of misleading activity on what is actually a safe page, please report the incorrect forgery alert.
Learn more about Firefox Phishing Protection.
フィッシングサイトからウェブを守るためにご協力いただき、ありがとうございます。Firefox のフィッシング対策は Google によって提供されており、以下に送信された情報は Google に送信され、この機能を改善するために使用されます。また、Google のプライバシーポリシーに基づき、匿名での報告となります。
フィッシング対策機能が、実際には安全なページで誤解を招くような行為を警告していると思われる場合は、不正確な偽造警告を報告するようお願いします。
Firefox のフィッシング対策について詳しくは、こちらをご覧ください。
ちょとだけコメントを入れて送信.
引用:
Chrome Web StoreYou can also report suspicious sites directly to Google Safe Browsing with the Suspicious Site Reporter extension (no need to revisit the Report Phishing page!).
Report Sent
Thanks for sending a report to Google. Now that you've done your good deed for the day, feel free to:
1. Take a second to rejoice merrily for doing your part in making the web a safer place.
2. Call/email/write to a neighbor/friend/relative and tell them what phishing is and how they can protect themselves.
3. Learn more about malware that can infect your computer on Stopbadware.org.
Chrome ウェブストアSuspicious Site Reporter 拡張機能を使って、疑わしいサイトを Google セーフ ブラウジングに直接報告することもできます(フィッシング報告ページを再度表示する必要はありません!)。
送信されたレポート
Googleにレポートを送信していただき、ありがとうございます。今日一日の善行を積んだら、次は何をしましょうか?
1. 1. Web をより安全な場所にするために自分の役割を果たせたことを喜んでください。
2. 2. 近所の人や友人、親戚に電話やメール、手紙を出して、フィッシングとは何か、どうすれば身を守れるかを教えてあげる。
3. 3. Stopbadware.orgで、あなたのコンピュータを感染させるマルウェアについて詳しく知る。
今日一日の善行...ちょうど12:00pmごろに通報したから,数時間後にどうなっているか確認かな.
「ブランド品 偽物 通報」で検索したら,国民生活センターがでてきた.
模倣品や海賊版などを見つけたら
https://www.kokusen.go.jp/t_box/data/t_box-faq_qa2020_14.html
引用: 国民生活センターではショッピングモールの運営会社や利権者に連絡するとあって,自分たちでは受けない模様.
連絡先として記載されていたユニオン・デ・ファブリカンを見てみる.
ユニオン・デ・ファブリカン
https://www.udf-jp.org/
引用: あまり活動してない模様だし,通報しても検討されるだけで終わりそう.今回通報しようと思っているショップは海外にあるし.
リンク先に特許庁があったので,ここの通報窓口を確認.
政府模倣品・海賊版対策総合窓口(特許庁国際協力課 模倣品対策室)
<情報提供・ご意見・ご要望フォーム>
https://mm-enquete-cnt.jpo.go.jp/form/pub/jpo06/ipr_2
入力項目がガッツリなので,ちょっとしんどいな.私は被害者じゃないし.
模倣品や海賊版などを見つけたら
https://www.kokusen.go.jp/t_box/data/t_box-faq_qa2020_14.html
引用:
模倣品等を見つけたら
模倣品等と思われる商品を見つけた場合、申告フォーム等を利用してオンライン・ショッピング・モールやフリーマーケット等の運営事業者に通報したり、商品の権利者や関係機関(権利者団体や管理団体等)に情報提供しましょう。
連絡先として記載されていたユニオン・デ・ファブリカンを見てみる.
ユニオン・デ・ファブリカン
https://www.udf-jp.org/
引用:
当事務所で適切な調査を行った上で、しっかりした裏付けがとれ、悪質なものについては、しかるべき処置が取れるように検討致します。尚、頂いた情報は一切外部には公表しません。
リンク先に特許庁があったので,ここの通報窓口を確認.
政府模倣品・海賊版対策総合窓口(特許庁国際協力課 模倣品対策室)
<情報提供・ご意見・ご要望フォーム>
https://mm-enquete-cnt.jpo.go.jp/form/pub/jpo06/ipr_2
入力項目がガッツリなので,ちょっとしんどいな.私は被害者じゃないし.
ずいぶん前から定期的にメールが来るけれど,ブランド品に興味もないのでガン無視していたが,ちょっと興味深く確認してみることにした.
来たのはこんなメール.
「スーパーコピー」というのは偽物業界の,偽物具合が良いものだそうで,デザインや素材が本物と見分けることが難しいほどの偽物を示すそうです.
「N級品」とはそのスーパーコピーの中でも出来の良いもので本物と見分けることが難しい最高品質の偽物だそうです.等級でいえば,「S級品」や「A級品」がありますが,A級品は素人でも偽物だとわかる品質だとか.
そしてメールの本文に送信時間が書かれているのだけれど,見ての通り,時差が1時間.中国からだと北京オリンピックの時差を知っている今なら分かりますね...
早速,メールにあるサイトにアクセスしてみます.
来たのはこんなメール.
「スーパーコピー」というのは偽物業界の,偽物具合が良いものだそうで,デザインや素材が本物と見分けることが難しいほどの偽物を示すそうです.
「N級品」とはそのスーパーコピーの中でも出来の良いもので本物と見分けることが難しい最高品質の偽物だそうです.等級でいえば,「S級品」や「A級品」がありますが,A級品は素人でも偽物だとわかる品質だとか.
そしてメールの本文に送信時間が書かれているのだけれど,見ての通り,時差が1時間.中国からだと北京オリンピックの時差を知っている今なら分かりますね...
早速,メールにあるサイトにアクセスしてみます.
「■重要■Аmazon にご登録のアカウント(名前、パスワード、その他個人情報)の確認」というフィッシングメールが来たのですぐアクセスしてみた
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/2/23 15:52
百貨店の閉店をネタにした詐欺サイトが使っているカスタマサポート用のメールアドレスが使い回されていたので,逆にメールアドレスを起点として調べてみた.
いくつか見つかったので,上から順番にみていくと,早速別の詐欺サイトに繋がった.
ここで注目するのは,取扱商品がロレックスとルイヴィトン.松坂屋 豊田店を騙る詐欺サイトの場合はロレックスだったけれど,時間が経つとそのままルイヴィトンの詐欺サイトに転用されていたけれど,根っこは同じってことか.
いくつか見つかったので,上から順番にみていくと,早速別の詐欺サイトに繋がった.
ここで注目するのは,取扱商品がロレックスとルイヴィトン.松坂屋 豊田店を騙る詐欺サイトの場合はロレックスだったけれど,時間が経つとそのままルイヴィトンの詐欺サイトに転用されていたけれど,根っこは同じってことか.
松坂屋 豊田店を騙る詐欺広告サイト その4 vitodori.shopは丸井池袋 閉店サイトに変わっていた
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/2/22 15:19
あなたのアカウントは停止されました、情報を更新してください のフィッシングメールが流行り
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/2/22 12:27
ここ数日で35通も到着している「あなたのアカウントは停止されました、情報を更新してください 」というアマゾンを騙るフィッシングメール.
次々とサイトは閉鎖されていますが,SpamAssassinでもスコアが6以上になるので古典的すぎる感じ.
どういった評価があるかを確認.
スコアが高いところにマークしてみた.
今回気になったのはFROM_DOMAIN_NOVOWELとは,「From: ドメインに非母音文字が連続する。」と言うことです.メールアドレスがランダム生成されているということを示すってことですかね.
次々とサイトは閉鎖されていますが,SpamAssassinでもスコアが6以上になるので古典的すぎる感じ.
どういった評価があるかを確認.
X-Spam-Score: 6.529
X-Spam-Level: ******
X-Spam-Status: Yes,
score=6.529 tagged_above=2 required=6
tests=[
DKIM_ADSP_NXDOMAIN=0.8,
FROM_DOMAIN_NOVOWEL=0.5,🈁
FUZZY_AMAZON=2.297, 🈁
HTML_MESSAGE=0.001,
NO_DNS_FOR_FROM=0.379,
RCVD_IN_DNSWL_BLOCKED=0.001,
RCVD_IN_VALIDITY_RPBL=1.284,🈁
RDNS_NONE=1.274, 🈁
SPF_HELO_NONE=0.001,
SPF_NONE=0.001,
T_SCC_BODY_TEXT_LINE=-0.01,
URIBL_BLOCKED=0.001
今回気になったのはFROM_DOMAIN_NOVOWELとは,「From: ドメインに非母音文字が連続する。」と言うことです.メールアドレスがランダム生成されているということを示すってことですかね.
ThunderbirdにThirdStatsというアドオンがあったのでインストールしてみた.統計を取ってみたのはスパムメールを保存しているアカウント.
迷惑メールは5,554通あり,東京オリンピックあたりと,年末に向けてのメールが多い.平時の1.5倍くらいかな.
曜日別をみると,月曜日と水曜日が多い.月曜日に多いのは,週明けに急いで読ませようという魂胆かと推測.
そして時間別にみても,早朝が多い.
つまり,月曜日朝一で急がせる様なメールは,ロクなものがないので,メールは読まずに仕事をして,昼からメールを処理する.すると,フィッシングメールの場合はアクセス先のサイトが停止されていることも多いので安全率が高いw
迷惑メールは5,554通あり,東京オリンピックあたりと,年末に向けてのメールが多い.平時の1.5倍くらいかな.
曜日別をみると,月曜日と水曜日が多い.月曜日に多いのは,週明けに急いで読ませようという魂胆かと推測.
そして時間別にみても,早朝が多い.
つまり,月曜日朝一で急がせる様なメールは,ロクなものがないので,メールは読まずに仕事をして,昼からメールを処理する.すると,フィッシングメールの場合はアクセス先のサイトが停止されていることも多いので安全率が高いw
今日は「あなたのアカウントは停止されました、情報を更新してください」が多いみたい.
大量に出しているけれど,次々とロックアウトされていますね.
大量に出しているけれど,次々とロックアウトされていますね.
Twitterから,あなたをプライベートな会話に招待しました。。というメッセージが来た件
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/2/14 1:41
昔,掲示板の2chで,気に入らない発言があるときの脅し文句として「通報しますた」と言うのがあったけれど,今回,facebookの不適切と思われる広告を通報してみました.
通報自体は簡単.つまり,通報内容の真偽はfacebook側が行うと言うことでしょう.そして最も興味深いのがこれ.
「報告の審査が完了次第,結果をお知らせします」とあります.審査が完了次第なので,結果として正当なサイトだったとしても?報告される模様.
結果が来たら,ここでも報告します.
通報自体は簡単.つまり,通報内容の真偽はfacebook側が行うと言うことでしょう.そして最も興味深いのがこれ.
「報告の審査が完了次第,結果をお知らせします」とあります.審査が完了次第なので,結果として正当なサイトだったとしても?報告される模様.
結果が来たら,ここでも報告します.
またまたfacebookで松坂屋 豊田店の閉店セールの広告が.興味深くみてしまうから,リコメンドされてしまうのかもしれません...
前回は「Matsuzakaya Online3」というアカウントだったけれど,今回は「Matsuzakaya Online」だったのでこっちが本筋?
やっぱり2017年から活動してない外人の友人がたくさんいる乗っ取られたっぽいアカウントでいきなり書き込みをしている.
前回は「Matsuzakaya Online3」というアカウントだったけれど,今回は「Matsuzakaya Online」だったのでこっちが本筋?
やっぱり2017年から活動してない外人の友人がたくさんいる乗っ取られたっぽいアカウントでいきなり書き込みをしている.
【Uber】ご注文内容の\xB4_\xD5J [メ\xA9`ルコ\xA9`ド UE934] ウーバーイーツを語るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/2/11 18:58
3日ほど前にカミさんに届いていたけれど,私のもっている漏洩メアドにも来はじめました!w
ご指定のURLにアクセスしてみると電話番号を入力させる画面に.到着して半日経つけどまだテイクダウンされてない模様.
固定電話の電話番号を入力してみました.
ご指定のURLにアクセスしてみると電話番号を入力させる画面に.到着して半日経つけどまだテイクダウンされてない模様.
固定電話の電話番号を入力してみました.
facebookにログインしたら,松坂屋豊田店の福袋の広告が.
Matsuzakaya-online03ってアカウント...しかしfacebookのちゃんとした?広告の模様.
これまでの様に詐欺サイトだと思うけれど,今回は私がまだ発見して時間が経ってなかったので,もうちょっと深掘りしてみた.
Matsuzakaya-online03ってアカウント...しかしfacebookのちゃんとした?広告の模様.
これまでの様に詐欺サイトだと思うけれど,今回は私がまだ発見して時間が経ってなかったので,もうちょっと深掘りしてみた.
今回はフィッシングでは無いのだけれど,こんなメールが来た.
.cnドメインからだけれど,代表メールアドレス宛なので,ばらまきメールかな.
引用:
良い機会なので,色々な翻訳ツールを使って比べてみた.
.cnドメインからだけれど,代表メールアドレス宛なので,ばらまきメールかな.
引用:
Good day!
We are a printing manufacturer in China, focusing on Printing for more than 20 years. 90% of our customers come from China's foreign trade enterprises and personal Soho.
They don't have factory equipment. When they receive orders, they outsource them to us for production.
if you gave They $7, but They gave us less than $1.
Because we don't know English, and we don't know how to market, most of the profits belong to the professionals in foreign trade.
Because of the impact of this year's epidemic, our boss wants to find global high-quality enterprise customers by himself.
Whether you are small batch production or wholesale customization, we can support unconditionally. We can provide you with better service at favorable price.
please reply to us email.
best regards
TOM
良い機会なので,色々な翻訳ツールを使って比べてみた.
昨日(2022/02/07)からばら撒かれているセクストーションのビットコイン要求メールですが,先ほど現在,うちには13通来ていました.
ビットコインウォレットは2種類ありますね.
件名が Don't forget to pay the tax within 2 days! となっているメールも数通ある.
ビットコインウォレットは2種類ありますね.
1XYpKNCFesvBDtAKPdCksyTFNso3dDaaF
1XYpKNCFesvBDtAKPdCksyTFNso3dDaaF
1XYpKNCFesvBDtAKPdCksyTFNso3dDaaF
1XYpKNCFesvBDtAKPdCksyTFNso3dDaaF
1XYpKNCFesvBDtAKPdCksyTFNso3dDaaF
1XYpKNCFesvBDtAKPdCksyTFNso3dDaaF
1XYpKNCFesvBDtAKPdCksyTFNso3dDaaF
1XYpKNCFesvBDtAKPdCksyTFNso3dDaaF
1EFgSoSVKThbsN9Kgn5KrxUj7bexiQB8LH
1EFgSoSVKThbsN9Kgn5KrxUj7bexiQB8LH
1EFgSoSVKThbsN9Kgn5KrxUj7bexiQB8LH
1EFgSoSVKThbsN9Kgn5KrxUj7bexiQB8LH
1EFgSoSVKThbsN9Kgn5KrxUj7bexiQB8LH
件名が Don't forget to pay the tax within 2 days! となっているメールも数通ある.
1KD14nfrgjNCd5RYyb7wGKWsHxYG1cn3zK
ピーティックスで漏洩したメアドにセクストーションメールが来た.
ちょいちょい文面が変わっているけれど,今回は金額がアップ!
引用:
久しぶりにMaltegoをインストールして,ビットコインの動きを確認してみた.
結構な動きの入金がある模様.拡大してみると・・・
一番大きい数値で0.001BTCが入金されている模様.現在の価格は.
日本円で5000円弱...送金したタイミングをざっくりと調べてみると,2021年11月ごろから12件の入金があって,トータルで約22万円くらいになっているかな.
これまで低額だったのに今回20万円相当を要求しているのは相手が日本人だと分かっているからだろうか.
ちょいちょい文面が変わっているけれど,今回は金額がアップ!
引用:
こんにちは、お元気ですか?
悪い話で会話を始めるのは快いものではないですが、仕方ないことです。
数ヶ月前、貴方がインターネット閲覧に利用しているデバイスへのアクセス権を取得しました。
それからずっと、全てのインターネット上の活動を追跡しています。
貴方がすべきことは、私のアカウントに¥205000(送金時点での為替レートによっては同額のビットコイン)を1度送金していただくだけです。
私のビットコインウォレットは以下の通りです: 1EFgSoSVKThbsN9Kgn5KrxUj7bexiQB8LH
以上の送金は、このメールを開封してから48時間(2日)以内に完了してください。
久しぶりにMaltegoをインストールして,ビットコインの動きを確認してみた.
結構な動きの入金がある模様.拡大してみると・・・
一番大きい数値で0.001BTCが入金されている模様.現在の価格は.
日本円で5000円弱...送金したタイミングをざっくりと調べてみると,2021年11月ごろから12件の入金があって,トータルで約22万円くらいになっているかな.
これまで低額だったのに今回20万円相当を要求しているのは相手が日本人だと分かっているからだろうか.
フィッシングなどの迷惑メールが多くて業務逼迫しているように見えるメルカリですが,うちのサンプルに新手のフィッシングメールが来ていました.
これまは「メルカリ本人確認のお知らせ」的な文面でのログイン誘導だったけれど,今回は24時間以内にクリックするとポイントがもらえると言う実益がありそうで,5000ポイントというありそうな金額だというのがミソかな.
先日観たNHKの特集がまさにコレで騙された人.
ニッポンが“釣られる” 追跡!サイバー闇市場 NHK
https://www3.nhk.or.jp/news/special/sci_cul/2022/01/special/phishing20220120/
これまは「メルカリ本人確認のお知らせ」的な文面でのログイン誘導だったけれど,今回は24時間以内にクリックするとポイントがもらえると言う実益がありそうで,5000ポイントというありそうな金額だというのがミソかな.
先日観たNHKの特集がまさにコレで騙された人.
ニッポンが“釣られる” 追跡!サイバー闇市場 NHK
https://www3.nhk.or.jp/news/special/sci_cul/2022/01/special/phishing20220120/
セクストーションの詐欺メール.
今回は1450$(米ドル)相当のビットコインを送信しろと.
引用:
$1450は今日現在167,076.25円なので,15万円くらいという相場感は変わってないかな.
今回は1450$(米ドル)相当のビットコインを送信しろと.
引用:
All you have to do to prevent this from happening is - transfer bitcoins worth $1450 (USD) to my Bitcoin address (if you have no idea how to do this, you can open your browser and simply search: "Buy Bitcoin").
My bitcoin address (BTC Wallet) is: 1KD14nfrgjNCd5RYyb7wGKWsHxYG1cn3zK
$1450は今日現在167,076.25円なので,15万円くらいという相場感は変わってないかな.
昨日の昨日のTS CUBIC CARDを騙るフィッシングメールがまた来た.
URLにアクセスしてみると・・・
まだブロックもテイクダウンもされてなかったので,フィッシング協議会に通報.そしてURLをみると,昨日と同じなので使い回しの模様.
ドメインは昨日登録されている.
IPアドレスを調べると2つ登録されている!
AbuseIPDBをみると両方ともまだ綺麗なままだったので,通報.
昨日と同じOWASP ZAPを使って脆弱性診断をしてみた.
今日(2022.02.03)の検査結果<
なんと! SQLインジェクションの脆弱性が封鎖されている模様.
昨日(2022.02.02)の検査結果
やるな.
追記2022/02/03 19:58
通報が効いたのかどうかわかりませんが,ページが403エラーになりました.
URLにアクセスしてみると・・・
まだブロックもテイクダウンもされてなかったので,フィッシング協議会に通報.そしてURLをみると,昨日と同じなので使い回しの模様.
ドメインは昨日登録されている.
Domain Name: www1tscubic.xyz
Registrar WHOIS Server: whois.namesilo.com
Registrar URL: https://www.namesilo.com/
Updated Date: 2022-02-02T07:00:00Z
Creation Date: 2022-02-02T07:00:00Z
Registrar Registration Expiration Date: 2023-02-02T07:00:00Z
Registrar: NameSilo, LLC
$ dig www1tscubic.xyz @8.8.8.8🈁
; <<>> DiG 9.10.6 <<>> www1tscubic.xyz @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34162
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www1tscubic.xyz. IN A
;; ANSWER SECTION:
www1tscubic.xyz. 300 IN A 172.67.148.128 🈁
www1tscubic.xyz. 300 IN A 104.21.39.210 🈁
;; Query time: 17 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu Feb 03 14:40:18 JST 2022
;; MSG SIZE rcvd: 76
$
昨日と同じOWASP ZAPを使って脆弱性診断をしてみた.
今日(2022.02.03)の検査結果<
なんと! SQLインジェクションの脆弱性が封鎖されている模様.
昨日(2022.02.02)の検査結果
やるな.
追記2022/02/03 19:58
通報が効いたのかどうかわかりませんが,ページが403エラーになりました.
エネオスカードを騙るフィッシングメール.
今朝メールが到着したけれど,指定されたURLにアクセスすると,Microsoft Edgeでは赤い画面がでて来たのでブロックされていることが判明.その後アクセスを続けると機能分析したTS CUBIC CARDを騙るメールと同じようなデザインのサイトが表示されました.
それでいつもの様にOWASP ZAPで検査しようと思ったら404に.そしてさっきまで見えていたページも見れなくなりました.(スクショ取り忘れ)
私からの攻撃を検知したからダウンさせたのかな?!
whoisで確認すると,昨日登録されたドメインの模様.
そういえば年末に同じ様なメールを受け取っていたなと思って確認すると.
金額が変わっていますね.上がってる!
今朝メールが到着したけれど,指定されたURLにアクセスすると,Microsoft Edgeでは赤い画面がでて来たのでブロックされていることが判明.その後アクセスを続けると機能分析したTS CUBIC CARDを騙るメールと同じようなデザインのサイトが表示されました.
それでいつもの様にOWASP ZAPで検査しようと思ったら404に.そしてさっきまで見えていたページも見れなくなりました.(スクショ取り忘れ)
私からの攻撃を検知したからダウンさせたのかな?!
whoisで確認すると,昨日登録されたドメインの模様.
Domain Name: ts3mansnls.top
Registry Domain ID: D20220203G10001G_75851922-top
Registrar WHOIS Server: whois.aliyun.com
Registrar URL: http://www.alibabacloud.com
Updated Date:
Creation Date: 2022-02-02T18:07:30Z
Registry Expiry Date: 2023-02-02T18:07:30Z 🈁
Registrar: Alibaba.com Singapore E-Commerce Private Limited
金額が変わっていますね.上がってる!
