ブログ - スパム・フィッシングカテゴリのエントリ
三井住友カードを騙るフィッシングメールを語る.
朝一番に気づいたので,分析してみた.
引用: いつもいつも!
至至急! というのでサイトにアクセス.
ブラウザでブロックされてない模様.
不適切なIDと雑多なパスワードでログインしてみる.
ログインできたのでテスト用のカード番号に似た数字や期限切れの有効期限,存在しない2月31日の誕生日などを正確に入力.
さらっと本物のページにリダイレクトされた.クレカの番号もチェックされなかったから,バリデーションも甘い.手抜き.
メールヘッダを見ると,誘導先とは違うFQDNから送られている..cnなので中国ドメイン..cnドメインは今は中国でしか取得できないはず.
VirusTotalでの評価はすでにフィッシングサイトと認識.
urlscan.ioでもマリシャス評価.
マリシャスなフィッシングサイトのIPアドレスは,アメリカにある.
メールの送信元その1のIPアドレスは,中国.
メールの送信元その2のIPアドレスも,中国.
そして先ほどMicrosoft Edgeでアクセスすると,Microsoft Defender SmartScreenが警告してくれました.
警告を無視すると,まだサイトにアクセスできるので,テイクダウンまでは進められてない模様.
やっぱりこのタイムラグかなぁ.雨後の筍のように増殖するフィッシングサイトを見つけ続けるのは難しいから,「しらばく放置」だね.
朝一番に気づいたので,分析してみた.
引用:
いついつも三井住友カードをご利用いただきありがとうございます。
いつも三井住友カードをご利用いただきありがとうございます。
弊社では、お客様に安心してカードをご利用いただくことを目的に、
第三者による不正使用を防止するモニタリングを行っています。
当社の検出を経て、第三者が不正利用されてる恐れがあります。
至至急! というのでサイトにアクセス.
ブラウザでブロックされてない模様.
不適切なIDと雑多なパスワードでログインしてみる.
ログインできたのでテスト用のカード番号に似た数字や期限切れの有効期限,存在しない2月31日の誕生日などを正確に入力.
さらっと本物のページにリダイレクトされた.クレカの番号もチェックされなかったから,バリデーションも甘い.手抜き.
メールヘッダを見ると,誘導先とは違うFQDNから送られている..cnなので中国ドメイン..cnドメインは今は中国でしか取得できないはず.
VirusTotalでの評価はすでにフィッシングサイトと認識.
urlscan.ioでもマリシャス評価.
マリシャスなフィッシングサイトのIPアドレスは,アメリカにある.
メールの送信元その1のIPアドレスは,中国.
メールの送信元その2のIPアドレスも,中国.
そして先ほどMicrosoft Edgeでアクセスすると,Microsoft Defender SmartScreenが警告してくれました.
警告を無視すると,まだサイトにアクセスできるので,テイクダウンまでは進められてない模様.
やっぱりこのタイムラグかなぁ.雨後の筍のように増殖するフィッシングサイトを見つけ続けるのは難しいから,「しらばく放置」だね.
キッズオススメ設定にしてもメールが来る.
そしてなぜかMyドコモのページで,指定受信設定の画面が出てこなくなった.
仕方ないので,PCのメーラでホワイトリスト運用することにした.
そしてなぜかMyドコモのページで,指定受信設定の画面が出てこなくなった.
仕方ないので,PCのメーラでホワイトリスト運用することにした.
ピーティックスで漏洩したメールにフィッシングメールがくるシリーズ.
引用: 「ダイル外」とは? 他にも「※ぶこのメ一ルでは、」ってある.「ぶこのメール」とは?
URLを叩いて確認してみる.
ロボット排除のためのパズル認証がある風だが,表示されてない.
本物のサイトにアクセス.
本物のURLにアクセスしたことがある人は,パズル認証がないことに気づいているかどうか.
でもパズル認証の運用方法も注意.パズル認証を出すとログインエラー率が高くなり問い合わせも増えるので,出すタイミングや出す場所とかは調整することが多い.偽物のサイトを作るなら,作りやすいものにすれば良いのに.
このサイトは左側のログイン画面だけを悪意のあるサイトに作り変えて,右側の案内部分は本物のサイトを使っているという特徴がある.
仕方ないので適当なクレジットカード番号を入力してログインすると,クレジット番号を入力する画面が表示.
思いついた数値を入力.有効期限は2月31日を設定.暗証番号は,誰かの結婚記念日を.
そして「次へ」ボタンを押すと・・・
公式サイトに飛ばされました.確認ページとかもないので,非常に作りが悪い.
引用:
UCカ一ドアトユ一-ネット!ダイル外をこ~利用いただき、誠にありがとうざいます
URLを叩いて確認してみる.
ロボット排除のためのパズル認証がある風だが,表示されてない.
本物のサイトにアクセス.
本物のURLにアクセスしたことがある人は,パズル認証がないことに気づいているかどうか.
でもパズル認証の運用方法も注意.パズル認証を出すとログインエラー率が高くなり問い合わせも増えるので,出すタイミングや出す場所とかは調整することが多い.偽物のサイトを作るなら,作りやすいものにすれば良いのに.
このサイトは左側のログイン画面だけを悪意のあるサイトに作り変えて,右側の案内部分は本物のサイトを使っているという特徴がある.
仕方ないので適当なクレジットカード番号を入力してログインすると,クレジット番号を入力する画面が表示.
思いついた数値を入力.有効期限は2月31日を設定.暗証番号は,誰かの結婚記念日を.
そして「次へ」ボタンを押すと・・・
公式サイトに飛ばされました.確認ページとかもないので,非常に作りが悪い.
年末年始も迷惑メールがくるオカンのドコモメール.役所からの年末年始の休日診療の連絡を受ける邪魔になるのでどうにか虐待したいが,指定受信を設定してもなぜかメールが来てしまう.
届くべきメールが届かないようになるのを防ぐためにまず「受信拒否 弱」にしていたけれど,それで効果が出たものもあるだろうけれど,完全では無かった.
卑猥なキーワードとかが入って誘導先URLが記載されているようなものを届かないようにしてくれることを期待.
ということえ,今度は,「キッズオススメ」にしてみた.
「携帯・PHS/パソコンなどのメール設定」で,mopera Uからのメールは拒否するようにしてみた.オカンの交友関係のなかでmopera Uを使っているとも思えず.
これで減ってくれればいいけどなぁ.
届くべきメールが届かないようになるのを防ぐためにまず「受信拒否 弱」にしていたけれど,それで効果が出たものもあるだろうけれど,完全では無かった.
卑猥なキーワードとかが入って誘導先URLが記載されているようなものを届かないようにしてくれることを期待.
ということえ,今度は,「キッズオススメ」にしてみた.
「携帯・PHS/パソコンなどのメール設定」で,mopera Uからのメールは拒否するようにしてみた.オカンの交友関係のなかでmopera Uを使っているとも思えず.
これで減ってくれればいいけどなぁ.
新しくメールサーバを立て,諸設定を終えたところ,Googleから本文が無いメールが送られて来た.
まさにフィッシングメールによくあるやつ
本文はなくて添付ファイルにZIPファイル.怖すぎる.
そこで開いてみたら,XMLファイルがついていました.
XMLにあるURLを確認するとこれ.
DMARC を使用してなりすましとフィッシングを防止する
https://support.google.com/a/answer/2466580
「DMARC レポート大解剖」ということで,参考にしたのはこれ.
どれくらい自社ドメインがなりすまされているか、ご存知ですか?
https://eng-blog.iij.ad.jp/archives/3273
report_metadataやpolicy_publishedで設定を確認できて,record/rowをじっくり見る,ということらしい.
参考:DMARC レコードの追加
https://support.google.com/a/answer/2466563?hl=ja
まさにフィッシングメールによくあるやつ
本文はなくて添付ファイルにZIPファイル.怖すぎる.
そこで開いてみたら,XMLファイルがついていました.
XMLにあるURLを確認するとこれ.
DMARC を使用してなりすましとフィッシングを防止する
https://support.google.com/a/answer/2466580
「DMARC レポート大解剖」ということで,参考にしたのはこれ.
どれくらい自社ドメインがなりすまされているか、ご存知ですか?
https://eng-blog.iij.ad.jp/archives/3273
report_metadataやpolicy_publishedで設定を確認できて,record/rowをじっくり見る,ということらしい.
参考:DMARC レコードの追加
https://support.google.com/a/answer/2466563?hl=ja
オカンのドコモメールへの迷惑メールが止まらない件.
老人向けに,ゆうちょ,JA,信金などを使っている模様.姑息にもスペースを入れてキーワードマッチしないように.
誘導されたURLニアクアセスしてみる.
Operaだとフィッシング渓谷でなかったな.すでに404になっている.
URLを削ると,Oliveというサイトのページが出てきた.
香港を拠点とする小規模なWebサービス業者の模様.現地の日本人向けサービスなのかな.プリペイドのポイント制なので,安くサイトを作るのに悪用されている模様.
老人向けに,ゆうちょ,JA,信金などを使っている模様.姑息にもスペースを入れてキーワードマッチしないように.
誘導されたURLニアクアセスしてみる.
Operaだとフィッシング渓谷でなかったな.すでに404になっている.
URLを削ると,Oliveというサイトのページが出てきた.
香港を拠点とする小規模なWebサービス業者の模様.現地の日本人向けサービスなのかな.プリペイドのポイント制なので,安くサイトを作るのに悪用されている模様.
ピーティックスで漏洩したメアドに来るようになった迷惑メールを分析するシリーズ.
TIKTOKの「いいね!」を押すアルバイトだそうだ.「いいね!」とかフォローワーを水増しするアルバイトも存在すると聞いているが,そういうのは「人力ではない」ので,情報弱者を狙ったフィッシングだと思われる.
この迷惑メールはco.jpドメインから送信されたようになっている点.
早速メールヘッダを確認.
キヤノンマーケティングのCannonetホスティングサービスを利用している模様.内部的には,WebメーラとしてActive!Mailと,ウイルスチェックとしてESETを利用しているのか.
そして,それらは問題なく通過.
送信元ととしてco.jpを使われた企業は,「株式会社ぱるる」という福島県の事務用品販売会社の模様.
宛先として使われているYahoo!メールのメアドをpwnedで調べる.
漏洩しているアカウントだと判明.このメアドは乗っ取られているのだろうと推測される.
なんどもあちらこちらから漏洩しているようだ.
リンクにアクセスすると,LINEの友達追加用のQRコードが表示された.
以下,推察のまとめ.
株式会社ぱるるが利用しているキヤノンマーケティングが提供しているWebメールサービスを利用して,今回のフィッシングメールが送信された.
フィッシングメールの内容から,株式会社ぱるるの中の人が送信してとは思いづらいが,経緯は不明.
フィッシングメールの返信先は,なんどもパスワードが漏洩しているYahoo!メールのメールアドレス.
TIKTOKの「いいね!」を押すアルバイトだそうだ.「いいね!」とかフォローワーを水増しするアルバイトも存在すると聞いているが,そういうのは「人力ではない」ので,情報弱者を狙ったフィッシングだと思われる.
この迷惑メールはco.jpドメインから送信されたようになっている点.
早速メールヘッダを確認.
キヤノンマーケティングのCannonetホスティングサービスを利用している模様.内部的には,WebメーラとしてActive!Mailと,ウイルスチェックとしてESETを利用しているのか.
そして,それらは問題なく通過.
送信元ととしてco.jpを使われた企業は,「株式会社ぱるる」という福島県の事務用品販売会社の模様.
宛先として使われているYahoo!メールのメアドをpwnedで調べる.
漏洩しているアカウントだと判明.このメアドは乗っ取られているのだろうと推測される.
なんどもあちらこちらから漏洩しているようだ.
リンクにアクセスすると,LINEの友達追加用のQRコードが表示された.
以下,推察のまとめ.
オカンのドコモメールに迷惑メールしかこない件.SPモード設定で「受信するメールの登録」をしたのだけれど,構わず送られてくる.
SPFはpassとなっているので調べてみた.
送信宛先にドコモメールのドメイン名がついてない.
まずは基本のIPアドレス.
普通にAWS.そしてドメイン.
10ヶ月前にちょっとSpam登録されているようだ.
日本だったので,whoisしてみた.
Yahoo!のめちゃくちゃなメアドを使って,お名前.comで10ヶ月前にドメイン取得.
.netって140円なのか.
VirusTotalでも悪性評価されてないけれど,すでにテイクダウンされていました.
SPFはpassとなっているので調べてみた.
送信宛先にドコモメールのドメイン名がついてない.
まずは基本のIPアドレス.
普通にAWS.そしてドメイン.
10ヶ月前にちょっとSpam登録されているようだ.
日本だったので,whoisしてみた.
Yahoo!のめちゃくちゃなメアドを使って,お名前.comで10ヶ月前にドメイン取得.
.netって140円なのか.
VirusTotalでも悪性評価されてないけれど,すでにテイクダウンされていました.
アマゾンのアカウントを持ってないのに,ログインできなくなったとメールが.
アカウントが閉鎖されているのにログインしろとなっている.若干の違和感を感じつつ,Amazonログインボタンを押してみる.
今回はMicrosoft Edgeを使ってみているけれど,不審なサイトだと警告が出る.
アクセスを続けようとしても安全ではないとMicrosoft Defender SmartScreenが警告をだしてくるけれど,もてないアマゾンのアカウントが閉鎖されているので仕方なくアクセスしてみる.
ちゃんとフィッシング協議会のメアドで登録.
とりあえず,フィッシング協議会の連絡先を設定.電話番号を入力すると国際電話番号に自動的に変換された.親切だね.
クレジットカード番号を入力してみた.ちゃんとコードがチェックされいていい加減な数値を入れるとエラーが出たので,ちゃんとテスト用のクレジットカード番号を入力しました.
パスワードは覚えがないのだけれど,110番に連絡するように設定.
メアドのパスワードは知らないので,これもランダムに.目のアイコンを押すとマスクされているパスワードが見えるようになりました.親切だね.
どうにか成功した模様.これでアマゾンにちゃんと転送されるみたい.
アメリカのアマゾンに転送されたよ.アメリカのアマゾンのアカウントも持ってないけどなぁ.
アカウントが閉鎖されているのにログインしろとなっている.若干の違和感を感じつつ,Amazonログインボタンを押してみる.
今回はMicrosoft Edgeを使ってみているけれど,不審なサイトだと警告が出る.
アクセスを続けようとしても安全ではないとMicrosoft Defender SmartScreenが警告をだしてくるけれど,もてないアマゾンのアカウントが閉鎖されているので仕方なくアクセスしてみる.
ちゃんとフィッシング協議会のメアドで登録.
とりあえず,フィッシング協議会の連絡先を設定.電話番号を入力すると国際電話番号に自動的に変換された.親切だね.
クレジットカード番号を入力してみた.ちゃんとコードがチェックされいていい加減な数値を入れるとエラーが出たので,ちゃんとテスト用のクレジットカード番号を入力しました.
パスワードは覚えがないのだけれど,110番に連絡するように設定.
メアドのパスワードは知らないので,これもランダムに.目のアイコンを押すとマスクされているパスワードが見えるようになりました.親切だね.
どうにか成功した模様.これでアマゾンにちゃんと転送されるみたい.
アメリカのアマゾンに転送されたよ.アメリカのアマゾンのアカウントも持ってないけどなぁ.
ピーティックスで漏洩したメアドに,入ってもない楽天のアカウントについてメールが.
早朝に兵庫の三田でログインしたそうだ.そんなところにいた覚えは無いなぁ.
びっくりしたので,フィッシング協議会にメールしようとメアドを設定.パスワードはちょっとわからないので適当に入力.
ログイン成功.
やばい!支払い情報が更新されているようだ.これは続ける.
連絡先を入力しなければいけない.ちょっとよくわからないので,フィッシング協議会の連絡先を設定してみた.
クレジット番号の入力! 覚えがないので,システムテストでよく使われるクレジットカード番号を入力してセキュリティコードは思いついた番号を設定.名義人はフィッシング協議会の代表者名に.
ちゃんと3Dセキュアにも対応している! フィッシング協議会に連絡したいので,代表者の名前を登録.パスワードはキーボードを適当に押した.
おめでとう! ちゃんとフィッシング協議会の連絡先が登録できてよかった.
完了ボタンを押したら,楽天のサイトに転送してくれた.
ちょっと怖くなった?ので,URLをチェック.
真っ赤だね.
早朝に兵庫の三田でログインしたそうだ.そんなところにいた覚えは無いなぁ.
びっくりしたので,フィッシング協議会にメールしようとメアドを設定.パスワードはちょっとわからないので適当に入力.
ログイン成功.
やばい!支払い情報が更新されているようだ.これは続ける.
連絡先を入力しなければいけない.ちょっとよくわからないので,フィッシング協議会の連絡先を設定してみた.
クレジット番号の入力! 覚えがないので,システムテストでよく使われるクレジットカード番号を入力してセキュリティコードは思いついた番号を設定.名義人はフィッシング協議会の代表者名に.
ちゃんと3Dセキュアにも対応している! フィッシング協議会に連絡したいので,代表者の名前を登録.パスワードはキーボードを適当に押した.
おめでとう! ちゃんとフィッシング協議会の連絡先が登録できてよかった.
完了ボタンを押したら,楽天のサイトに転送してくれた.
ちょっと怖くなった?ので,URLをチェック.
真っ赤だね.
うちにはまだ着弾してないけれど,活動し始めた模様.
マルウェアEmotetの活動再開(2020/12/21-)と変更点
https://bomccss.hatenablog.jp/entry/emotet-3
メリークリスマス
賞与
とかか.メリークリスマスと言われてもふ〜んって感じだと思うけれど,ボーナス時期を外した?賞与についての通達だと,ちょっと気になるかもしれないね.
引用: EDRで検出するヒントになりそう.
マルウェアEmotetの活動再開(2020/12/21-)と変更点
https://bomccss.hatenablog.jp/entry/emotet-3
メリークリスマス
賞与
とかか.メリークリスマスと言われてもふ〜んって感じだと思うけれど,ボーナス時期を外した?賞与についての通達だと,ちょっと気になるかもしれないね.
引用:
現時点の最新のEmotetの感染有無の確認は、プロセス一覧の中にrundll32.exeが動いており、その引数のファイルの拡張子がdllでない、実行のエクスポート関数がRunDLLである、ということ、それがレジストリRunキーに設定されている、という点を確認する必要があると思われます。
ただ、これはすぐに変更可能な点ですので、確認ポイントとして今後しばらく使えるか、という点は不明です。
iモード時代は平和で迷惑メールが全く来なかったオカンのメアド.スマホ(iPhone)に変えて約1年半,迷惑メールしか来なくなり使わなくなったそうだ.
SPモードメールからドコモメールに切り替わって,IMAPなのでPCで取り込んでみた.
800件近いメールの767件が迷惑メール.巧に送信日時を2023年などの未来時間に設定してメールボックスの一番上に来るようになっているなぁ.
そして多くのメールは,SPFヘッダはpassになっている.
ドコモでは迷惑メール判定サービスは有料になったけれど,受信リスト設定でホワイトリスト運用できるというので,設定してみた.
まともにやりとりしているメアドアカウントを整理したら,6件だった.そんなもんか.
これで迷惑メール来ないかな.
SPモードメールからドコモメールに切り替わって,IMAPなのでPCで取り込んでみた.
800件近いメールの767件が迷惑メール.巧に送信日時を2023年などの未来時間に設定してメールボックスの一番上に来るようになっているなぁ.
そして多くのメールは,SPFヘッダはpassになっている.
ドコモでは迷惑メール判定サービスは有料になったけれど,受信リスト設定でホワイトリスト運用できるというので,設定してみた.
まともにやりとりしているメアドアカウントを整理したら,6件だった.そんなもんか.
これで迷惑メール来ないかな.
カミさんから,変なSMSが届いたと.
在宅中なのに.
興味深くURLを叩いてみたけれど,今現在アクセス不能.調べると,ゆうちょ銀行を模したフィッシングサイトだった模様.
2020年12月04日
フィッシングメール・SMSによる詐欺にご注意ください
(偽メール文:「ご本人様不在の為お荷物を持ち帰りました」)
https://www.jp-bank.japanpost.jp/news/2020/news_id001592.html
他にも楽天版とかのバリエーションもある模様.
怪しすぎるURLなのだけれど,ネットで調べるとクリックしてしまう人は多い模様.受け取った側の電話番号の疎通確認の可能性もある.
受け取った側の対処は,無視すること以外にないね.
在宅中なのに.
興味深くURLを叩いてみたけれど,今現在アクセス不能.調べると,ゆうちょ銀行を模したフィッシングサイトだった模様.
2020年12月04日
フィッシングメール・SMSによる詐欺にご注意ください
(偽メール文:「ご本人様不在の為お荷物を持ち帰りました」)
https://www.jp-bank.japanpost.jp/news/2020/news_id001592.html
他にも楽天版とかのバリエーションもある模様.
怪しすぎるURLなのだけれど,ネットで調べるとクリックしてしまう人は多い模様.受け取った側の電話番号の疎通確認の可能性もある.
受け取った側の対処は,無視すること以外にないね.
2020年9月に多く観測したけれど,今日はとんでもない数の商業オファーメールが.
どうやらメアドが漏洩して迷惑メールがたくさん来るようになったカミさんのところにも届いたようで,本文が気持ち悪かったそうだ.
色々なメアドに飛んできている.過去にメールログみてたらuser unknownが多発でエラーメールが多いから,あえてアカウント作って受け取るようにしてみたアドレスにも到着している.バラマキ型の典型か.
集金先のビットコインアドレスはこれ.
139WQyraw8jvkEJQ9N6LGW5tJdFt4zvXXX
今現在,入金は無いようだけれど.後日調べようと思っていた,2020年9月にの商業オファーのビットコイン支払い実績がでてました.
150USD前後の金額がもう1つ送り込まれていますな.約3万円の稼ぎだったようだが...
どうやらメアドが漏洩して迷惑メールがたくさん来るようになったカミさんのところにも届いたようで,本文が気持ち悪かったそうだ.
色々なメアドに飛んできている.過去にメールログみてたらuser unknownが多発でエラーメールが多いから,あえてアカウント作って受け取るようにしてみたアドレスにも到着している.バラマキ型の典型か.
集金先のビットコインアドレスはこれ.
139WQyraw8jvkEJQ9N6LGW5tJdFt4zvXXX
今現在,入金は無いようだけれど.後日調べようと思っていた,2020年9月にの商業オファーのビットコイン支払い実績がでてました.
150USD前後の金額がもう1つ送り込まれていますな.約3万円の稼ぎだったようだが...
11月に流行ったIcedIDと呼ばれる標的型攻撃のメール.NRIセキュアの分析結果が発表されていました.
【検証】マルウェア「IcedID」の検知傾向と感染に至るプロセスを徹底解説
https://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid
mshta.exeをリネームしているのか.mshta.exeはMicrosoft HTML Application Hostといわれる古典的なWebエンジンだけれど,これを悪用するのか.
WindowsとInternet Explorerが一体化したころwから存在していると思うけれど,実質役目を終えているが互換性のために残っているのだと思う(想像) そして悪用されちゃう.
滅多に起動されないので,LOLBAS としてプログラム起動は検知するようにしているけれど,ハッシュ値でも登録しといたほうがいいな.
あと,感染してしまっている場合,revopilte3[.]club、aweragiprooslk[.]cyou へのビーコン通信があるそうだから,プロキシログみチェックだね.
【検証】マルウェア「IcedID」の検知傾向と感染に至るプロセスを徹底解説
https://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid
mshta.exeをリネームしているのか.mshta.exeはMicrosoft HTML Application Hostといわれる古典的なWebエンジンだけれど,これを悪用するのか.
WindowsとInternet Explorerが一体化したころwから存在していると思うけれど,実質役目を終えているが互換性のために残っているのだと思う(想像) そして悪用されちゃう.
滅多に起動されないので,LOLBAS としてプログラム起動は検知するようにしているけれど,ハッシュ値でも登録しといたほうがいいな.
あと,感染してしまっている場合,revopilte3[.]club、aweragiprooslk[.]cyou へのビーコン通信があるそうだから,プロキシログみチェックだね.
ピーティックスで漏洩したメール,楽天を堅田メールも来ていた.
これらのフィッシングで誘導されるサイトはアクセス不能ではなくてGoogle検索窓に転送されるようになっていました.
これらのフィッシングで誘導されるサイトはアクセス不能ではなくてGoogle検索窓に転送されるようになっていました.
ピーティックスで漏洩したメルアドに,毎日同じ文面の迷惑メールが来ている.
持ってないAmazonのアカウントで22万円の買い物.
持ってないAmazonのアカウントで22万円の買い物.
持ってないAmazonのアカウントで22万円の買い物.
そんなに毎日22万円のものを買うものか.
しょうがないから,今朝4時に来たメールのURLにアクセスしてみる.
すでにテイクダウンされている模様.
これからどんどん,迷惑メールが来るのかと思うと面倒だな.ちなみにピーティックスからはパスワード変えろというメールが来て以降,途中経過報告も何もない.
一般的には,この迷惑メールがピーティックスの漏洩事件と関係あるかどうか紐付けできないけれど,これまで迷惑メールが来てなかったメアドに,この時期から来るようになったのだから,状況証拠的に疑わしい.facebookへのログインも同じ.
持ってないAmazonのアカウントで22万円の買い物.
持ってないAmazonのアカウントで22万円の買い物.
持ってないAmazonのアカウントで22万円の買い物.
そんなに毎日22万円のものを買うものか.
しょうがないから,今朝4時に来たメールのURLにアクセスしてみる.
すでにテイクダウンされている模様.
これからどんどん,迷惑メールが来るのかと思うと面倒だな.ちなみにピーティックスからはパスワード変えろというメールが来て以降,途中経過報告も何もない.
一般的には,この迷惑メールがピーティックスの漏洩事件と関係あるかどうか紐付けできないけれど,これまで迷惑メールが来てなかったメアドに,この時期から来るようになったのだから,状況証拠的に疑わしい.facebookへのログインも同じ.
物理的なコインか.
フィッシング対策協議会よりコミュニティにて活躍する有識者に対しチャレンジコイン贈呈を開始 (2020/12/08)
https://www.antiphishing.jp/news/info/20201208.html
100名ということはレアですな.
刻印はこれ.
53544f502e205448494e4b2e20434f4e4e454354
STOP. THINK. CONNECT
フィッシング対策協議会よりコミュニティにて活躍する有識者に対しチャレンジコイン贈呈を開始 (2020/12/08)
https://www.antiphishing.jp/news/info/20201208.html
100名ということはレアですな.
刻印はこれ.
53544f502e205448494e4b2e20434f4e4e454354
STOP. THINK. CONNECT
Thunderbirdを使ってヘッダのSPF,DKIM,DMARCヘッダをタグに設定してみた
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2020/12/4 1:06
迷惑メールを判定する1つの指標としてAuthentication-Resultsヘッダが使えるけれど,Apple Mailでヘッダを表示させて読むのは辛いので,Thunderbirdでタグを使ってみることにした.Apple Mailでは,今現在タグ機能がない.
設定は,カスタムヘッダでAuthentication-Resultsの条件を登録する.
SPF,DKIM,DMARCとAUTHがpassのものとnoneのものを設定することにした.
普段メールフィルタを設定しない人なので,このAuthentication-Resultsの設定しかない.
そして今まで受け取った迷惑メールをフィルタ適用してみた.
想定通りの,見やすい感じになっている!
そして他のメールも順次見ていくと...
DKIMもSPFもpassしている迷惑メールの存在.
ヘッダを確認.
sendgrid.netを使って送信されているのか..
設定は,カスタムヘッダでAuthentication-Resultsの条件を登録する.
SPF,DKIM,DMARCとAUTHがpassのものとnoneのものを設定することにした.
普段メールフィルタを設定しない人なので,このAuthentication-Resultsの設定しかない.
そして今まで受け取った迷惑メールをフィルタ適用してみた.
想定通りの,見やすい感じになっている!
そして他のメールも順次見ていくと...
DKIMもSPFもpassしている迷惑メールの存在.
ヘッダを確認.
sendgrid.netを使って送信されているのか..
株式会社アプラス,という会社を知らなかったけれど,新生銀行系列の中堅クレジットカード・信販会社だそうだ.
存在を知らなかったけれど,カードを停止すると連絡があった.
日本語がちゃんとしている.テキストメールにみえてHTMLメールでリンクを隠している.
今回不思議だったのは,その誘導先のURLが,正しいURLに置き換えられていることを発見.
今現在は,フィッシングサイトはテイクダウンされているようだけれど.
アプラスはフィッシング対策協議会にも案内が出ているようで,多くのバリエーションが出ている模様.
アプラスをかたるフィッシング (2020/11/16)
https://www.antiphishing.jp/news/alert/aplus_20201116.html
公式サイトの魚拓.
カミさんの方に来ているアプラスを騙るフィッシングメールは,日本語が不自然.
SPFヘッダがsoftfailというのは初めてみた.「認証情報を公開しているが、正当なメールであっても認証失敗する可能性もある」ということだそうです.
存在を知らなかったけれど,カードを停止すると連絡があった.
日本語がちゃんとしている.テキストメールにみえてHTMLメールでリンクを隠している.
今回不思議だったのは,その誘導先のURLが,正しいURLに置き換えられていることを発見.
今現在は,フィッシングサイトはテイクダウンされているようだけれど.
アプラスはフィッシング対策協議会にも案内が出ているようで,多くのバリエーションが出ている模様.
アプラスをかたるフィッシング (2020/11/16)
https://www.antiphishing.jp/news/alert/aplus_20201116.html
公式サイトの魚拓.
カミさんの方に来ているアプラスを騙るフィッシングメールは,日本語が不自然.
SPFヘッダがsoftfailというのは初めてみた.「認証情報を公開しているが、正当なメールであっても認証失敗する可能性もある」ということだそうです.
朝から迷惑メール.
本文が画像だから何も見えず.
メッセージのソースを確認.
fasshonnovaというサイトからメールが送られてきている模様.
サイトにアクセスしてみる.
すでにフィッシングサイト扱いになっている.
警告を無視してアクセスしてみる.
まだテイクダウンされてない模様.
可視化してみる.
すでに色々なセキュリティサイトでフィッシングとされている模様.Google Safebrowsingでもフィッシングとしているし.
メール送信のIPアドレスも可視化.
アムステルダムか.
最後にurlscan.ioでの分析結果.
長生きしているということは,テイクダウンできない理由があるのかなぁ.
本文が画像だから何も見えず.
メッセージのソースを確認.
fasshonnovaというサイトからメールが送られてきている模様.
サイトにアクセスしてみる.
すでにフィッシングサイト扱いになっている.
警告を無視してアクセスしてみる.
まだテイクダウンされてない模様.
可視化してみる.
すでに色々なセキュリティサイトでフィッシングとされている模様.Google Safebrowsingでもフィッシングとしているし.
メール送信のIPアドレスも可視化.
アムステルダムか.
最後にurlscan.ioでの分析結果.
長生きしているということは,テイクダウンできない理由があるのかなぁ.
多くのIcedIDを分析した結果が掲載されています.
IcedIDの感染につながる日本向けキャンペーンの分析
https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/
この分析記事しかないけれど,IoCも後悔していますね.
ばらまきメール回収の会の人の解説記事.
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別
https://bomccss.hatenablog.jp/entry/2020/11/30/130150
IcedIDの感染につながる日本向けキャンペーンの分析
https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/
この分析記事しかないけれど,IoCも後悔していますね.
ばらまきメール回収の会の人の解説記事.
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別
https://bomccss.hatenablog.jp/entry/2020/11/30/130150
これま,今後発展していくのかな.
ライティングスタイル分析の機能について
https://success.trendmicro.com/jp/solution/1122083
引用: 日本語の分かち書きはもう15年くらい前にはオープンソースで実現できていたわけで,その人のクセも学習できるでしょう.
普段よりちょっと改まって頼みごとをしたいときに,文体を変えたりするとスコアがあがるのかな.
ライティングスタイル分析の機能について
https://success.trendmicro.com/jp/solution/1122083
引用:
ビジネスメール詐欺 (BEC) では会社役員などの高プロファイルユーザが標的となります。Cloud App Security では、偽装される可能性のある高プロファイルユーザのライティングスタイルモデルを学習し、ユーザ本人が作成したメールメッセージであるかを機械学習の結果に基づき判定します。
普段よりちょっと改まって頼みごとをしたいときに,文体を変えたりするとスコアがあがるのかな.
EmotetとかIcedIDとか,マクロを使ったマルウェアは,アンチウイルスソフトなどが結構検知してくれるけれど,ニーズによってコントロールするのが良いのか.ま,利便性・業務効率とのトレードオフか.
マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
インターネットからダウンロードした素性のわからないVBAは,一旦実行できないようにしておくのが良いね.
マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
インターネットからダウンロードした素性のわからないVBAは,一旦実行できないようにしておくのが良いね.
今月初旬に引き続きこれらの話題.進化もしている模様.
緊急セキュリティ速報:マルウェア「IcedID」に注意
https://www.trendmicro.com/ja_jp/about/announce/announces-20201110-01.html
分析レポート:Emotetの裏で動くバンキングマルウェア「Zloader」に注意
https://www.lac.co.jp/lacwatch/people/20201106_002321.html
こういうのもあって,中身の見えないパスワード付きZIPが敬遠されるという世の中にしていこうとされている感じかなぁ.
ランサムウェアについてはこんな記事も.
ランサムウェアでブラジルの最高裁判所が閉鎖、Windowsの主要なランサムウェアがLinuxに乗り換えた事例としては初
https://gigazine.net/news/20201109-ransomexx-trojan-linux-brazil-top-court/
緊急セキュリティ速報:マルウェア「IcedID」に注意
https://www.trendmicro.com/ja_jp/about/announce/announces-20201110-01.html
分析レポート:Emotetの裏で動くバンキングマルウェア「Zloader」に注意
https://www.lac.co.jp/lacwatch/people/20201106_002321.html
こういうのもあって,中身の見えないパスワード付きZIPが敬遠されるという世の中にしていこうとされている感じかなぁ.
ランサムウェアについてはこんな記事も.
ランサムウェアでブラジルの最高裁判所が閉鎖、Windowsの主要なランサムウェアがLinuxに乗り換えた事例としては初
https://gigazine.net/news/20201109-ransomexx-trojan-linux-brazil-top-court/
ずっとドコモのケータイを使っているけれど,4〜5年,iモードもSPモードも使わずに電話番号だけの契約にしていたので,ドコモメールを使う文化がない.
2019年の5月に,ガラケーからスマホに(契約上)乗り換えた時にdocomo.ne.jpのメールアドレスを取得できたので取ったけれど,誰にも教えずに,,,というか自分でも忘れいたら,なんと15ヶ月で140通もメールが溜まっていた.
必要?まともだったのは,ドコモからの「データ量に関するお知らせ」で,これは在宅勤務開始の4月分以降,データ量が5GBを越えることがなくなったので通知がこなくなっていた.
代わりに,迷惑メールが来ている.これは実はマッチポンプなんじゃないか?(データ量を消費するための・・・)
メールによっては,フィッシング用のURLすら無いものがある.返信するんだろうけれど,そもそも標的型メールのように返信したくなるような内容でも無い.
iモードメールの時は,迷惑メール対策が無料だったけれど,残念ながら現在は有料とのこと.
せっかく迷惑メールが来る専用のメアドをゲットできたので,それはそれで観察のために保持しておくかな.
2019年の5月に,ガラケーからスマホに(契約上)乗り換えた時にdocomo.ne.jpのメールアドレスを取得できたので取ったけれど,誰にも教えずに,,,というか自分でも忘れいたら,なんと15ヶ月で140通もメールが溜まっていた.
必要?まともだったのは,ドコモからの「データ量に関するお知らせ」で,これは在宅勤務開始の4月分以降,データ量が5GBを越えることがなくなったので通知がこなくなっていた.
代わりに,迷惑メールが来ている.これは実はマッチポンプなんじゃないか?(データ量を消費するための・・・)
メールによっては,フィッシング用のURLすら無いものがある.返信するんだろうけれど,そもそも標的型メールのように返信したくなるような内容でも無い.
iモードメールの時は,迷惑メール対策が無料だったけれど,残念ながら現在は有料とのこと.
せっかく迷惑メールが来る専用のメアドをゲットできたので,それはそれで観察のために保持しておくかな.
送信ドメイン認証(SPF)が設定されたメールサーバだと,応答内容がメールヘッダのAuthentication-Resultsに現れるというので,表示するようにしてみた.
設定したのは,Apple Mail.
設定は簡単だけれど,ヘッダが表示されている適当なメールが,意外と少ない.
最初に見つけたのが,MS-ISACからのメール.
その次に見つけたのが,Google AdSenseからのメール.
なるほどね.DMARCの設定が,自分の方針とはまるで違う.まぁ偽装メール送られまくっているだろうから,REJECTが正しいのかな.
逆に自分のメールサーバからgmailにメールを送った時,どのようにヘッダが表示されているかを確認.
いいじゃなーい DMARCもpassになっているので,信頼性は高い方じゃないかな.後は証明書とかかなぁ.
信頼性を求められる,お金払えとか購入したとかのメールは,Authentication-Resultsを確認すると騙されにくいかもしれない.
設定したのは,Apple Mail.
設定は簡単だけれど,ヘッダが表示されている適当なメールが,意外と少ない.
最初に見つけたのが,MS-ISACからのメール.
その次に見つけたのが,Google AdSenseからのメール.
なるほどね.DMARCの設定が,自分の方針とはまるで違う.まぁ偽装メール送られまくっているだろうから,REJECTが正しいのかな.
逆に自分のメールサーバからgmailにメールを送った時,どのようにヘッダが表示されているかを確認.
いいじゃなーい
DMARCもpassになっているので,信頼性は高い方じゃないかな.後は証明書とかかなぁ.信頼性を求められる,お金払えとか購入したとかのメールは,Authentication-Resultsを確認すると騙されにくいかもしれない.
国内でマルウェア「IcedID」が拡散か--Emotetに類似
https://japan.zdnet.com/article/35162074/
引用:
進化を続けるマルウェア「Emotet」 怪しく見えないメールも警戒を
https://www.itmedia.co.jp/news/articles/2010/15/news058.html
引用:
通常のビジネスマンでも,そういう流行りを知っている必要がある時代なのかな.メールの相手が正しいのかどうかを確認する必要性.
「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意
https://blog.trendmicro.co.jp/archives/26656
https://japan.zdnet.com/article/35162074/
引用:
JPCERT コーディネーションセンター(JPCERT/CC)は11月6日、マルウェア「IcedID」の感染を狙う不正なメールが複数報告されているとして注意を呼びかけた。近年流行するマルウェア「Emotet」の感染を狙った攻撃方法に似ているという。
進化を続けるマルウェア「Emotet」 怪しく見えないメールも警戒を
https://www.itmedia.co.jp/news/articles/2010/15/news058.html
引用:
例えば不正な添付ファイルがウイルス対策ソフトに検出されるようになると、パスワードで保護された「.zip」などのアーカイブファイルを添付する手口に切り替えて、検出を免れるようになった。
通常のビジネスマンでも,そういう流行りを知っている必要がある時代なのかな.メールの相手が正しいのかどうかを確認する必要性.
「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意
https://blog.trendmicro.co.jp/archives/26656
プライバシーマークの団体として有名な,JIPDECの発表.
防災メールのなりすまし対策の強化が急務
-JIPDECとTwoFiveが自治体防災メールなりすまし対策状況調査結果公表-
https://www.jipdec.or.jp/topics/news/20201020.html
引用: つまり,SPFやDMARCが設定されてない場合,メールを受け取らないようにサーバで処理できるけれど,防災メールの多くがそれらが設定されてないからメールサーバ側での対処は難しい感じかな.
ちゃんとしたシステム運営されてないとこういうことになると.
引用:
防災メールのなりすまし対策の強化が急務
-JIPDECとTwoFiveが自治体防災メールなりすまし対策状況調査結果公表-
https://www.jipdec.or.jp/topics/news/20201020.html
引用:
1.防災メール発信を行っている自治体は全体の62.8%
2.なりすまし対策のSPFとDMARCは両方設定していないとなりすましメールと判断されることがあるが、SPF の設定は全体の90%なのに対しDMARCの設定ができている自治体は14.2%
3.都道府県別の設定割合ではSPFもDMARCも両方設定できている自治体は、どの都道府県も50%未満
ちゃんとしたシステム運営されてないとこういうことになると.
引用:
実際に2018年7月にも、岡山県の大雨特別警報を知らせるメールが迷惑メールと判断され、3千人に対し配信できなくなり、延べ192万通の配信が最大2時間遅延したという事件が発生しています。このため、総務省が公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成30年9月版)にも、なりすまし対策として送信ドメイン認証技術を採用しなければならないと記載されています。
なんかめちゃくちゃたくさんくる.
引用: 覚えたての猿みたいな感じ? ちなみに,送信してくるメールアドレスと誘導先のURLは毎回違っています...
NTT-X Storeは数年に一度,木になる商品がある時がある.ネットのニュースで誘導されるだけだが...アカウントを作ろうというモチベーションはないなぁ...
引用:
注文番号 X301918-51042-5
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◎本メールは発送時に、自動送信されております。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
毎度ありがとうございます。「NTT-X Store」です。
ご注文頂いております商品を発送させていただきましたのでご報告申し上げます。
NTT-X Storeは数年に一度,木になる商品がある時がある.ネットのニュースで誘導されるだけだが...アカウントを作ろうというモチベーションはないなぁ...
お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2020/10/29 1:32
見知らぬSMSが届いていた.
何も買ってないので荷物は届かん.だれも何も無料で送ってくれないだろうし.
数日,放置しても音沙汰ないwので,電話番号を調べて見た.
ドメイン名も記載があるので調べると,どうも日本郵便を騙ってApple IDをいれさせるサイトのようだ.
「即レス」を今すぐやめたほうがいい理由
https://the-owner.jp/archives/3291
何も買ってないので荷物は届かん.だれも何も無料で送ってくれないだろうし.
数日,放置しても音沙汰ないwので,電話番号を調べて見た.
ドメイン名も記載があるので調べると,どうも日本郵便を騙ってApple IDをいれさせるサイトのようだ.
「即レス」を今すぐやめたほうがいい理由
https://the-owner.jp/archives/3291
巧妙なフィッシングメールが増えている中で,こんな呑気な迷惑メールが...
引用: 連絡手段が,メールの返信だけの模様.
そして,メールヘッダを読んでびっくり.
早稲田大学だと?
IPアドレスをみると,ムンバイ.
AbuseIPDBでみると,固定IPってでているなぁ.SFPとかもないので,偽装か.
引用:
ご挨拶、
私の名前は、カナダ有数の暗号通貨交換プラットフォームの1つである最高コンプライアンス責任者であるFelixです。
これは私からあなたへの秘密の秘密のメッセージであり、そのように扱われることを要求します。
故人の口座保有者が所有する清算されたBTC口座から生じた900万米ドルを超える資金に関する緊急事項(取引)についてご連絡いたします
。 私の計画と、私があなたの返事を受け取り、あなたの信頼を得た後、私が最初にあなたに連絡することを選んだ理由をあなたに知らせます。
たくさんの感謝とあなたの返事を楽しみにしています。
フェリックス。
そして,メールヘッダを読んでびっくり.
早稲田大学だと?
IPアドレスをみると,ムンバイ.
AbuseIPDBでみると,固定IPってでているなぁ.SFPとかもないので,偽装か.
月曜日の朝から届いていたのだけれど.
引用:
さっきメールに気づいてアクセスすると,すでに停止されていました.
数日前から発信されているフィッシングメールのようです.
給付金2回目支給? 総務省をかたる偽通知メールに注意
https://internet.watch.impress.co.jp/docs/news/1283099.html
[更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
https://www.antiphishing.jp/news/alert/kyufukin_20201019.html
2020/10/19 11:00現在ではサイトは稼働していたようだ.
日本語も巧妙というか日本人に間違いないわけだから,タチが悪い.
引用:
令和2年10月14日、「新型コロナウイルス感染症緊急経済対策」が閣議決定され、感染拡大防止に留意しつつ、簡素な仕組みで迅速かつ的確に家計への支援を行うため、二回目特別定額給付金事業が実施されることになり、総務省に特別定額給付金実施本部を設置いたしました。
さっきメールに気づいてアクセスすると,すでに停止されていました.
数日前から発信されているフィッシングメールのようです.
給付金2回目支給? 総務省をかたる偽通知メールに注意
https://internet.watch.impress.co.jp/docs/news/1283099.html
[更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
https://www.antiphishing.jp/news/alert/kyufukin_20201019.html
2020/10/19 11:00現在ではサイトは稼働していたようだ.
日本語も巧妙というか日本人に間違いないわけだから,タチが悪い.
西新宿の新宿区立淀橋第六小学校近くに住んでいた身からすると,ヨドバシという言葉が国際的にも認知されたのかなぁと思ったら感無量.
「異常は発生しますので」と言い切るあたり,あの国のカタコト発音が脳内再生されてしまうなぁ.
引用: 変なところに空白が入るという特徴がありますな.
「異常は発生しますので」と言い切るあたり,あの国のカタコト発音が脳内再生されてしまうなぁ.
引用:
ヨドバシ.comに ついての重要なお知 らせ普段お客様がご 利用になられていな い環境からヨドバシ.comへ のログインがありまし た,異常は発生しますの で、お客様のアカウ ントをチェックして ください。
不正なユ ーザーが ヨドバシ .comアカウ ントにアク セスした可 能性がある と考えていま す。したがっ て、アカウン トへのアクセ スを一時的に ブロックし、 オファ ーを無効 にします。 相手がどの ようにあなた のアカウント 情報を取得した のかわかりませ んが、次の方法 が考えられます。
- マルウェ アを使用 して、ユ ーザーの キーボー ド入力ア クション を検出し ます。
- 頻繁に使 用するパ スワード を使用し ます。
したが って、個人 情報を再登 録し、私た ちにIPおよ びログイン 環境の監視 を許可する 必要があり ます。その 後、不正な ログインが ブロックさ れ、パスワ ードを変更 せずにヨド バシ.comア カウントを 安全に使用 できるよう になります。
最近アマゾンを語る迷惑メールのキャンペーン中のようで色々なフィッシングドメインへの誘導がされるのだけれど,xyzとtopが多かったけれど,monsterというのを見かけたのでチェックして見た.
まずはこんな感じで,リンク先がmonsterになっている.
monsterドメインは,お名前.comでも取得できる模様.
検索して見た.
98円か...
そしてモンスターといえば・・・
流石にpocket.monsterは取得されている模様.
ちなみに...
売られてた!
まずはこんな感じで,リンク先がmonsterになっている.
monsterドメインは,お名前.comでも取得できる模様.
検索して見た.
98円か...
そしてモンスターといえば・・・
流石にpocket.monsterは取得されている模様.
ちなみに...
売られてた!
アマゾン,楽天,三井住友を語るフィッシングメールは後を絶たないけれど,今回はいつもと違う特徴的な内容のメールが.
日本語の説明文書が多くて長いから不読率が高そうだな,,,という印象と,単語の間に不自然にブランクが入っている.
特定の使われるキーワードがある一定以上登場するとSPAM判定される旧式エンジンもあるけれど,それの対策なのか,ただメール送信システムがしょぼいのか.
変化を観察することで,将来騙されそうにあるタイミングって見えてくるのかなぁ.
ああ,それと最近はリンク先に.topドメインが多いです.そういうトップドメインが増えたのか安いのか.
日本語の説明文書が多くて長いから不読率が高そうだな,,,という印象と,単語の間に不自然にブランクが入っている.
特定の使われるキーワードがある一定以上登場するとSPAM判定される旧式エンジンもあるけれど,それの対策なのか,ただメール送信システムがしょぼいのか.
変化を観察することで,将来騙されそうにあるタイミングって見えてくるのかなぁ.
ああ,それと最近はリンク先に.topドメインが多いです.そういうトップドメインが増えたのか安いのか.
ちょっと古いけれど,まずはIPAの9月2日に更新.
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて - IPA
https://www.ipa.go.jp/security/announce/20191202.html
更新されたのは「相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日 追記)」という件について.
これまではDOCに偽装したEXEとかVBA実行による外部サイトからのマルウェアダウンロード実行とかだけれど,ZIPでパスワード付き,そしてメールの差出人は過去にやりとりした人を偽装していたり本文も,やりとりしたことのある文書を引用された形で騙されたやすい.
パスワード付きZIPにしているので,ゲートウェイ型のセキュリティシステムは通過して,あとはファイルを展開した際にエンドポイントのセキュリティツールが実行まえに検知するかどうかかな.
VBAの内容がダウンロードの試行のようなわかりやすいスクリプトだったり,MIMEエンコードされたURLへのリダイレクトだったりなので,セキュリティソフトを入れていれば,そのあたりの振る舞いで検知されてブロックされるはず.
次にJPCERT/CCの記事.9月4日版.
マルウェア Emotet の感染拡大および新たな攻撃手法について
https://www.jpcert.or.jp/newsflash/2020090401.html
やっぱりパスワード付きZIPファイルか.パスワードがメール本文内に入っているという特徴があるね.大手企業のセキュリティ教育だと,「パスワードの通知メールは別送で」と教育されてきているので,それだけで違和感があるので気付けるかな.(パスワード通知の別送にも賛否両論があるが)
Piyologに,なりすますメールの注意喚起を出している各種企業について記事がまとめられていますね.
7月下旬以降相次ぐ不審メール注意喚起についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/08/12/124753
自社なり取引先なりで侵害があて,メールアドレス,名前,本文の文書が漏洩していて,語られているのだろうと思います.
開いてしまった時の対処方法指南.
「怪しい添付ファイルを開いてしまった」場合はどうする? 対処法・対策をトレンドマイクロが紹介
https://internet.watch.impress.co.jp/docs/news/1277070.html
EmotetでZIPファイルが届いたけれど,ZIP64形式だったのでWindows 10標準の圧縮ファイル展開機能だと展開に失敗するという間の抜けた問題もある模様...
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて - IPA
https://www.ipa.go.jp/security/announce/20191202.html
更新されたのは「相談急増/パスワード付きZIPファイルを使った攻撃の例(2020年9月2日 追記)」という件について.
これまではDOCに偽装したEXEとかVBA実行による外部サイトからのマルウェアダウンロード実行とかだけれど,ZIPでパスワード付き,そしてメールの差出人は過去にやりとりした人を偽装していたり本文も,やりとりしたことのある文書を引用された形で騙されたやすい.
パスワード付きZIPにしているので,ゲートウェイ型のセキュリティシステムは通過して,あとはファイルを展開した際にエンドポイントのセキュリティツールが実行まえに検知するかどうかかな.
VBAの内容がダウンロードの試行のようなわかりやすいスクリプトだったり,MIMEエンコードされたURLへのリダイレクトだったりなので,セキュリティソフトを入れていれば,そのあたりの振る舞いで検知されてブロックされるはず.
次にJPCERT/CCの記事.9月4日版.
マルウェア Emotet の感染拡大および新たな攻撃手法について
https://www.jpcert.or.jp/newsflash/2020090401.html
やっぱりパスワード付きZIPファイルか.パスワードがメール本文内に入っているという特徴があるね.大手企業のセキュリティ教育だと,「パスワードの通知メールは別送で」と教育されてきているので,それだけで違和感があるので気付けるかな.(パスワード通知の別送にも賛否両論があるが)
Piyologに,なりすますメールの注意喚起を出している各種企業について記事がまとめられていますね.
7月下旬以降相次ぐ不審メール注意喚起についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/08/12/124753
自社なり取引先なりで侵害があて,メールアドレス,名前,本文の文書が漏洩していて,語られているのだろうと思います.
開いてしまった時の対処方法指南.
「怪しい添付ファイルを開いてしまった」場合はどうする? 対処法・対策をトレンドマイクロが紹介
https://internet.watch.impress.co.jp/docs/news/1277070.html
EmotetでZIPファイルが届いたけれど,ZIP64形式だったのでWindows 10標準の圧縮ファイル展開機能だと展開に失敗するという間の抜けた問題もある模様...
三井住友カードについては,たびたびフィッシング対策協議会のページにでているけれど,国際ブランド別のシェアでは三井住友も扱っているVISAカードはシェア50%なので狙いやすいでしょう.
メール本文にあるIPアドレスはOCNのものでした.以前調査したものはアメリカだったので,ちょっと改善したのでしょう...
引用: 今回気になったのは,この本文.
テキストメールに見えてHTMLメールなのでURLが隠蔽化されているから,MIMEデコードしないとURLが発見できないことかな.
そしてリンク先にアクセスをして見る.
すでに対策がされているので警告が出た.
「この警告を無視する」でアクセスしてみる.
すでに止まっていました.
メール本文にあるIPアドレスはOCNのものでした.以前調査したものはアメリカだったので,ちょっと改善したのでしょう...
引用:
◆ログイン情報
・ログイン日時 :2020/9/23 8:57:14
・IPアドレス :x.x.x.x
VpassIDおよびパスワードを他のサイトと併用している場合には、
漏えいした情報より、悪意のある第三者によるネットショッピン
グでの悪用の可能性もございます。
VpassIDおよびパスワードは他のサイトでは使用せずに、定期的
にご変更いただきますようお願いいたします。VpassID・パスワ
ードのご変更はこちらをご覧ください。
テキストメールに見えてHTMLメールなのでURLが隠蔽化されているから,MIMEデコードしないとURLが発見できないことかな.
そしてリンク先にアクセスをして見る.
すでに対策がされているので警告が出た.
「この警告を無視する」でアクセスしてみる.
すでに止まっていました.
アマゾン,楽天,三井住友のフィッシングメールがやたらと増えているけれど,Emotetを失敗したような迷惑メールがきました.
引用: なにか悪意のあるマクロがしこまれているであろう,添付ファイルがついていません...
同じ内容のメールが,いつも迷惑メールが来る迷惑メール専用の2つのメアドに届きましたが,宛先の名前が伊東さんだったり佐藤さんだったりしました.(フルネームはマスク)
送信したメールアドレスは同じものだったので送信サーバのIPアドレスを調査.
ロシア,モスクワからか.
AbuseIPDBを見ると,IPアドレス的には汚れてない模様.
kingserver.comは,VPS/VDSのサービス会社の模様.DomainKey,Dkimも問題ないのでブロックは難しいかな.
引用:
経理ご担当者様
お世話になっております。
株式会社トラベルエージェントの笹原です。
お忙しい中、ご連絡をいただきありがとうございます。
ご指摘の通り、9月度ご請求書を修正いたしましたので、ご確認頂けますと幸いでございます。
ご迷惑をお掛けし、申し訳御座いません。
取り急ぎ要件のみとなりますが、
今後とも何卒よろしくお願い致します。
同じ内容のメールが,いつも迷惑メールが来る迷惑メール専用の2つのメアドに届きましたが,宛先の名前が伊東さんだったり佐藤さんだったりしました.(フルネームはマスク)
送信したメールアドレスは同じものだったので送信サーバのIPアドレスを調査.
ロシア,モスクワからか.
AbuseIPDBを見ると,IPアドレス的には汚れてない模様.
kingserver.comは,VPS/VDSのサービス会社の模様.DomainKey,Dkimも問題ないのでブロックは難しいかな.
ふと,いつもSPAMメールが来るアドレスのメールボックスが騒がしいのでみてみた.
件名「テーマ: 商業オファー。」
基本的には全部脅迫メール.使い古しか.
引用: 1500ドルって今どうなのか.
なるほど.そしてメールの中にある振込先のBitcoinのアドレスは7件中6件が1tj9z9upErKtYCf9MJ78hAcTAfd2xxxなので同じ.
いつものようにビットコインの流れを確認.
0.15ビットコインが送金されている!
一人送ったのか...大儲けだな.でも,これ,しばらく後で見たら増えてたりするのかな.
件名「テーマ: 商業オファー。」
基本的には全部脅迫メール.使い古しか.
引用:
それならば、ご提案があります。
1500 USD相当の金額を私のBitcoin ウォレットへと送金していただけると、私は全てのことを忘れることにします。さらに、全てのデータやビデオを永久的に削除しましょう。
1,500 アメリカ合衆国ドル は
158,893.50 円
9月8日 17:00 UTC
いつものようにビットコインの流れを確認.
0.15ビットコインが送金されている!
0.15 ビットコイン は161,332.58 円
9月8日 17:00 UTC
楽天でアカウントを持ってないメアドに,こんなメールが来ていた.
引用:
ログインしたというIPアドレスは,アメリカのもので汚れてない模様.
汚れてないIPアドレスを用いることでブロックを回避か.
クリック先のURLは,ドメインは中国.その先にopenidへリダイレクトされるようなパラメータがついているので,そこでログインさせて搾取するのかなぁ.
ちなみに,.cnになっているけれど,digした時のIPアドレス,112.175.150.110は,Korea Telecomでした.
リンク先のURLをurlscan.ioでチェックすると,フィッシングだと出ますね.
興味深くアクセスすると,こんな感じ.
オレオレSSL証明書.この時点で敷居が高くなっている.(ブラウザによっては,直接アクセスできない)
アクセスした先は良くあるログイン画面.興味深いのは,Englishや中文などのリンクがあるけれど,それらのページは用意されていません.
それで,フィッシング協議会の通報メールアドレスを用いて,パスワードは「つうほうしました」をローマ字で入力してログイン.
ログイン成功.
面白そうなので,続けてみる.
カード番号登録画面.丁寧に,カード番号の最初の4297は楽天カードの番号.これを適当な数字で入力してみる.
数値を入れてカード有効期限にフォーカスを移すと,「無効カードの疑いがある。」とエラーがでた.最低限のチェックロジックはある模様.
今日はこれぐらいで終了.
実例で見るネットの危険:国内ユーザを狙うネット通販詐欺
https://blog.trendmicro.co.jp/archives/25764
管理ツールの8080は空いてないようだけれど,Maltegoによって22番が空いているというので,確認してみた.
パスワード認証か...
引用:
上記のログイン記録にお心あたりがない場合は、お客様以外の第三者によってログインされた可能性がございます。
下のリンクをクリックして、安全なサーバーを使用してアカウント情報を確認してください。
続けるにはこちらをクリック
万が一、身に覚えのないご利用やご注文が確認された場合は、楽天市場トップページより「ヘルプ」をクリックいただき、「ヘルプ・問い合わせトップ」画面下部の「楽天市場へ問い合わせる」から「楽天市場お客様サポートセンター」へお問い合わせください。
※本メールはご登録いただいたメールアドレス宛に自動的に送信されています。
※本メールは送信専用です。ご返信いただきましてもお答えできませんのでご了承ください。
楽天株式会社
ログインしたというIPアドレスは,アメリカのもので汚れてない模様.
汚れてないIPアドレスを用いることでブロックを回避か.
クリック先のURLは,ドメインは中国.その先にopenidへリダイレクトされるようなパラメータがついているので,そこでログインさせて搾取するのかなぁ.
ちなみに,.cnになっているけれど,digした時のIPアドレス,112.175.150.110は,Korea Telecomでした.
リンク先のURLをurlscan.ioでチェックすると,フィッシングだと出ますね.
興味深くアクセスすると,こんな感じ.
オレオレSSL証明書.この時点で敷居が高くなっている.(ブラウザによっては,直接アクセスできない)
アクセスした先は良くあるログイン画面.興味深いのは,Englishや中文などのリンクがあるけれど,それらのページは用意されていません.
それで,フィッシング協議会の通報メールアドレスを用いて,パスワードは「つうほうしました」をローマ字で入力してログイン.
ログイン成功.
面白そうなので,続けてみる.
カード番号登録画面.丁寧に,カード番号の最初の4297は楽天カードの番号.これを適当な数字で入力してみる.
数値を入れてカード有効期限にフォーカスを移すと,「無効カードの疑いがある。」とエラーがでた.最低限のチェックロジックはある模様.
今日はこれぐらいで終了.
実例で見るネットの危険:国内ユーザを狙うネット通販詐欺
https://blog.trendmicro.co.jp/archives/25764
管理ツールの8080は空いてないようだけれど,Maltegoによって22番が空いているというので,確認してみた.
$ ssh root@rakuten.co.jp.cookiesget.ol7g[.]cn🆑
The authenticity of host 'rakuten.co.jp.cookiesget.ol7g.cn (112.175.150.110)' can't be established.
ECDSA key fingerprint is SHA256:yTya7bjFTvyHEXTc+8x7TOUK7HKZgxeJK3L2X2BCfhY.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'rakuten.co.jp.cookiesget.ol7g[.]cn,112.175.150[.]110' (ECDSA) to the list of known hosts.
root@rakuten.co.jp.cookiesget.ol7g.cn's password:
最近,こんなメールが届く.
やっぱり添付ファイルがついていると,ワクワクする.
ちょっと,まず何を書いてあるのか,DeepLで確認して見る.
ロシア語と,同じことを英語で書いてあるのか.
添付ファイルを保存してみたけれど,これは偽リンクじゃなくて,ちゃんとファイルでした.
Microsfot Wordだけれど,macOSを使っていたらWordを開かずともQuickLookで参照可能. 一応,VirusTotalにアップロードして検査.
ファイル自体には問題ない模様.
コミュニティをみると,スパムだと書いてある.ただし,うちに来た時とは違うメールアドレスだな.
そしてWordの中身の1つ.
引用:ということで,Web広告の営業メールでした.
やっぱり添付ファイルがついていると,ワクワクする.
Здравствуйте. У меня есть предложения для
владельца сайта.
Передайте пожалуйста мои предложения
и контакты руководству, которые указаны
в прикрепленных файлах.
Hello. I have suggestions for the site owner.
Please pass on my suggestions and contacts to the management,
which are indicated in the attached files.
ちょっと,まず何を書いてあるのか,DeepLで確認して見る.
こんにちは。いくつかの提案があります。
サイトオーナーの
私の提案を伝えてください
と管理者の連絡先が表示されています。
を添付ファイルに記載してください。
こんにちは。サイトへの提案をさせていただきました。
私の提案や連絡先を運営側に伝えてください。
のように、添付ファイルに記載されています。
添付ファイルを保存してみたけれど,これは偽リンクじゃなくて,ちゃんとファイルでした.
Microsfot Wordだけれど,macOSを使っていたらWordを開かずともQuickLookで参照可能. 一応,VirusTotalにアップロードして検査.
ファイル自体には問題ない模様.
コミュニティをみると,スパムだと書いてある.ただし,うちに来た時とは違うメールアドレスだな.
そしてWordの中身の1つ.
引用:
Hello. Are you interested in setting up and maintaining contextual advertising?
I have been setting up and running contextual advertising for over 9 years.
My WhatsApp /Viber for fast communication: +380973510878
My Skype: mayboroda[_]aleks
What benefits do you get?
1. The lowest cost of attracting the buyer of your goods or services.
2. Only the target audience, ready to buy your product or service.
3. Save time on finding customers.
4. Payment is only for going to the site of an interested buyer.
5. Instant result. You don’t have to wait 5-7 months as when promoting a site in order to start receiving targeted traffic or looking for it in other ineffective ways that lead in the majority to non-target audience.
6. Return on investment in the first month.
7. Savings on staff who deal with inefficient ways to attract customers.
8. A regular customer. Since the customer’s contacts are saved when ordering
in the future, he can be offered other goods and services through the newsletter.
What I suggest:
1. Analysis of competitors and recommendations for improving the site, to increase the conversion of the visitor into a real, regular customer.
2. Gathering only targeted sales inquiries that will lead buyers who are ready to buy.
3. Setting up contextual advertising based on an analysis of your site and competitors' sites.
4. Create ads for each request.
5. Launching and maintaining contextual advertising, filtering out unnecessary requests that do not bring effect, changing ads to more effective ones that will increase conversion and save the budget.
Monthly cost of service
For the work on setting up and running advertising, I take 42$ per month.
An advertising budget is also needed - I recommend from 144$ per month.
You can pay once a week: 11$ for work + 36$ per week of the advertising budget
= 47$ per week.
Warranty:
1. Immediately after the launch of advertising, you will be able to see your site for certain queries in the top 3 search engines. And you do not have to wait and believe for 5-7 months, the site will be in the top 3 with advancement or not.
2. Already in the first week of the launch of advertising, you will receive real orders.
3. You can make money in advertising and for work once a week.
4. I, as well as you, are interested in the effectiveness of advertising and the continuation of long-term cooperation. Since if you will benefit, then I will benefit - long-term cooperation.
5. Reporting. You will receive a list of requests for which phrases your ad is showing in the top 3 search engines and you will be able to evaluate the quality of the created ads and the presence of your site in the first positions of Yandex and Google. As well as the number of orders from the site.
My WhatsApp /Viber for fast communication: +380[9]73510878
My Skype: mayboroda[_]aleks
Sincerely, Alexander, a specialist in setting up and maintaining contextual advertising.
去年も紹介したこのサイト.
https://haveibeenpwned.com
前回は迷惑メールがくるメールアドレスを投入して検索したのだけれど,これをドメイン管理者であればドメイン名ごとに検索できることを知ったので試してみました.
ドメイン毎にメールアドレスの流出を調べた
結果はJSONとかExcelで入手できるのでチェックが楽だね.
去年,スパムばかり来るので該当のメアドは止めていたのだけれど,最近,Maltegoで分析が面白いので逆に迷惑メールが届くようにオンにしてみました...
ちなみに,最近よく迷惑メールが来るメアドは,このhave i been pwned? には登録されていません.
去年止めた迷惑メールが届くメアドは,アメリカのサービスを利用.HIBPで登録あり
今現在迷惑メール届くメアドは,日本のサービスを利用.HIBPで登録ナシ
ちょっとだけ違いがあるので,サンプリングとしては面白いかなぁ.
https://haveibeenpwned.com
前回は迷惑メールがくるメールアドレスを投入して検索したのだけれど,これをドメイン管理者であればドメイン名ごとに検索できることを知ったので試してみました.
ドメイン毎にメールアドレスの流出を調べた
結果はJSONとかExcelで入手できるのでチェックが楽だね.
去年,スパムばかり来るので該当のメアドは止めていたのだけれど,最近,Maltegoで分析が面白いので逆に迷惑メールが届くようにオンにしてみました...
ちなみに,最近よく迷惑メールが来るメアドは,このhave i been pwned? には登録されていません.
ちょっとだけ違いがあるので,サンプリングとしては面白いかなぁ.
今日,いつも迷惑メールが届くメアドに,ルイ・ヴィトンのアウトレット販売っぽい迷惑メールが来た.
せっかくの機会なので,この迷惑メールを教材に,Maltegoを使って調べて見た.
IPinfoやHaveIbeenPwnedを使って,迷惑メールの発信元を調べて見たけれど,中国のものとしかわからず.ただし乗っ取りされている風でもなかった.
そして本文にあるURLは,シンガポールにあるアリババのサーバのようだけれど,すでにロックアウトされていたので内容を見ることはできずじまいでした.
Maltegoで迷惑メールを可視化してみる2020.05.14版
普段使いでは無いメールアドレスに,コンスタントに迷惑メールが到着するというのは,こういう趣味?仕事をしていると良いサンプルが手に入ってありがたいことなのかな.
せっかくの機会なので,この迷惑メールを教材に,Maltegoを使って調べて見た.
IPinfoやHaveIbeenPwnedを使って,迷惑メールの発信元を調べて見たけれど,中国のものとしかわからず.ただし乗っ取りされている風でもなかった.
そして本文にあるURLは,シンガポールにあるアリババのサーバのようだけれど,すでにロックアウトされていたので内容を見ることはできずじまいでした.
Maltegoで迷惑メールを可視化してみる2020.05.14版
普段使いでは無いメールアドレスに,コンスタントに迷惑メールが到着するというのは,こういう趣味?仕事をしていると良いサンプルが手に入ってありがたいことなのかな.
カミさんのところにも,Amazonを騙るフィッシングメールが届くようになった模様.
面白いので転送してもらった.
差出人の部分がむちゃくちゃだけれど,本文がひどい.
本文を取り出してみた.
お前扱いしているのはもちろん,ロッグとされて日本語も変である.
このような場合,日本語に違和感があるから判別ができやすいけれど,流暢な日本語だったら,騙されるところでしょう.これはいつもそう思う危機感.
「Amazonログイン」のバッジの部分をフォーカスすると,リンク先のドメインが出てきます.これはiPhoneとかiPadだと,マウスでフォーカスを当てて本来のドメインを調べる方法が取りづらいので,騙される率は高いように思う.
そしてメール本文にある,異常なログインIPをAbuseIPDBで調べてみた.
ここで示して居るのは,trabelport[.]comという会社組織で,アメリカのテクノロジー系の旅行関連業者の模様.AbuseIPDBには,このIPアドレスは問題のある行動はレポートされてない模様.
そして,隠しリンクになっていたドメインのzmoatqdx[.]xyzを,Sucuriで調査.
Site is Blacklistedとされ,Crtical Security Riskと出た.
Scan failedとも出ているので,すでにサーバは停止されて居る模様.
また,AbuseIPDBで調査してみる.
ここでも,60%くらいはこのアドレスは怪しいとされている.IPアドレスの所有者は,godaddy[.]comというインターネットサーブスプロバイダでホスティング事業もやっているようだから,犯人はそのホスティングサービスを利用した模様.
時間が経過すると,どこかの機関によってロックアウトされていることが多い.なので,フィッシングメールの文の内容には「今すぐ確認を!」とされていることが多いですね.今回は,それは入ってないけれど.
面白いので転送してもらった.
差出人の部分がむちゃくちゃだけれど,本文がひどい.
本文を取り出してみた.
お前のAmazon ID情報の一部分は不足、あるいは正しくないです、
お前のアカウント情報を保護するため、アカウントにログインして
検証する必要があります。
ログインして画面の指示のように操作したら、
アカウントのロッグをアンロックしていたたけます。
このような場合,日本語に違和感があるから判別ができやすいけれど,流暢な日本語だったら,騙されるところでしょう.これはいつもそう思う危機感.
「Amazonログイン」のバッジの部分をフォーカスすると,リンク先のドメインが出てきます.これはiPhoneとかiPadだと,マウスでフォーカスを当てて本来のドメインを調べる方法が取りづらいので,騙される率は高いように思う.
そしてメール本文にある,異常なログインIPをAbuseIPDBで調べてみた.
ここで示して居るのは,trabelport[.]comという会社組織で,アメリカのテクノロジー系の旅行関連業者の模様.AbuseIPDBには,このIPアドレスは問題のある行動はレポートされてない模様.
そして,隠しリンクになっていたドメインのzmoatqdx[.]xyzを,Sucuriで調査.
Site is Blacklistedとされ,Crtical Security Riskと出た.
Scan failedとも出ているので,すでにサーバは停止されて居る模様.
また,AbuseIPDBで調査してみる.
ここでも,60%くらいはこのアドレスは怪しいとされている.IPアドレスの所有者は,godaddy[.]comというインターネットサーブスプロバイダでホスティング事業もやっているようだから,犯人はそのホスティングサービスを利用した模様.
時間が経過すると,どこかの機関によってロックアウトされていることが多い.なので,フィッシングメールの文の内容には「今すぐ確認を!」とされていることが多いですね.今回は,それは入ってないけれど.
最近はAmazonを語る迷惑メールばかりくるので,面白くないのだけれど.
日本人だと「Hi」で始まる文書を作ることはないなぁ.ドメインはアイルランドとかアメリカが絡んでいるようだけれど.
「12億円」で調べると,MEGA BIGというのが今年の2月15日より発売されて居て,キャリーオーバーで最高12億円なのだそうです.新型コロナウイルスのニュースばかりで,MEGA BIGは話題になってないと思うけれど,迷惑メールはしたたかだなぁ.
Hi~ すみません
私たちがメールの送信の理由は、インターネットのスポーツトトを
推薦してドリルしようとしているからです。
58bet 独立行政法人日本スポーツ振興センターのスポーツ振興くじ
助成金を受けて、体育施設の整備やスポーツ大会などを行っています。
58betとは、BIG(コンピューターがランダムで試合結果を自動選択する、
予想のいらない最高6億円のくじ)、
toto(サッカーの試合結果を予想するくじ)がインターネットで
買えるサービスです。
58betに無料会員登録するだけで利用可能!
便利でカンタン
夢は「12億円」だけじゃない ついに開催1000回、スポーツくじが築く未来とは……
お客様の加入を心から歓迎します。
「12億円」で調べると,MEGA BIGというのが今年の2月15日より発売されて居て,キャリーオーバーで最高12億円なのだそうです.新型コロナウイルスのニュースばかりで,MEGA BIGは話題になってないと思うけれど,迷惑メールはしたたかだなぁ.
アマゾンのアカウントを持ってない私にとって,Amazonからのメールは100%迷惑メールなわけなのだが.
件名も差し込み未完成だし,日本に「州」は無いし,ロクインってなんだろう.
そのロクインへのリンクへアクセスすると,結構ちゃんとした様に見えるページに行く模様.
ランディング用のメールがむちゃくそなのに誰がリンクを踏むのだろうかと...でもこのサイトは,まだ今日現在活動中です.怖いな.
件名も差し込み未完成だし,日本に「州」は無いし,ロクインってなんだろう.
そのロクインへのリンクへアクセスすると,結構ちゃんとした様に見えるページに行く模様.
ランディング用のメールがむちゃくそなのに誰がリンクを踏むのだろうかと...でもこのサイトは,まだ今日現在活動中です.怖いな.
いつもとは違うメールアドレスに,売り込みがあった.
ちょっと中国語っぽいけどわからないので,翻訳ツールを使って内容確認.
第124回カントンフェアの出展者データらしい.
これって,トレードショーのようだけれど,2万以上出店があるのか.なんだか規模がすごいな.それに124回って.春秋と年に2回程度やっているっぽい.そうなると60年ほどの歴史があるものか.
China Import and Export Fair (Canton Fair)
https://cantonfair.org.cn/
それでその名簿,300RMBとあるけれど,人民元のことらしい.CNYとRMBは同じものだけれど,呼び方が違うだけの模様.
RMB:Rénmínbì(レンミンビィ)
CNY:Chinese Yuan(チャイニーズ・ユエン)
そして,
CNH:Chinese Hong Kong(チャイニーズ・ホンコン)
というのもあるのか.
ちなみに,300RMB=300人民元は,今日現在のレートで4,643.99円でした.安いね.内容が本物かどうかわからないけれど.
ちょっと中国語っぽいけどわからないので,翻訳ツールを使って内容確認.
第124回カントンフェアの出展者データらしい.
これって,トレードショーのようだけれど,2万以上出店があるのか.なんだか規模がすごいな.それに124回って.春秋と年に2回程度やっているっぽい.そうなると60年ほどの歴史があるものか.
China Import and Export Fair (Canton Fair)
https://cantonfair.org.cn/
それでその名簿,300RMBとあるけれど,人民元のことらしい.CNYとRMBは同じものだけれど,呼び方が違うだけの模様.
RMB:Rénmínbì(レンミンビィ)
CNY:Chinese Yuan(チャイニーズ・ユエン)
そして,
CNH:Chinese Hong Kong(チャイニーズ・ホンコン)
というのもあるのか.
ちなみに,300RMB=300人民元は,今日現在のレートで4,643.99円でした.安いね.内容が本物かどうかわからないけれど.
前回はナリタイ(なりすましメール対策)のサイトがありましたが,現在はこのサギタイの方を熱心に更新しているようです.
ビジネスメール詐欺対策
https://www.sagitai.jp
まぁ,ビジネスマン向けの振り込め詐欺ってことか.ブログの中にあったのだけれど印象的なのはこれ「K さんの BEC 体験談」のところ.
「メールとは別の手段で必ず相手先と直接確認し合う」といところかな.次のサイトでも同じことを書いてある.
フィッシング詐欺メールは現実世界で確認!騙されないためのポイントとは?
https://cybersecurity-jp.com/security-measures/34177
「一般の方に私が勧めるとしたら「見分けることを諦める」ことです。」と「"現実世界で"確認すれば良いのです」ということ.
でも,書かれている通り,腕のある人ほど,机上で確認しようとしてしまうな.俺か.
ビジネスメール詐欺対策
https://www.sagitai.jp
まぁ,ビジネスマン向けの振り込め詐欺ってことか.ブログの中にあったのだけれど印象的なのはこれ「K さんの BEC 体験談」のところ.
「メールとは別の手段で必ず相手先と直接確認し合う」といところかな.次のサイトでも同じことを書いてある.
フィッシング詐欺メールは現実世界で確認!騙されないためのポイントとは?
https://cybersecurity-jp.com/security-measures/34177
「一般の方に私が勧めるとしたら「見分けることを諦める」ことです。」と「"現実世界で"確認すれば良いのです」ということ.
でも,書かれている通り,腕のある人ほど,机上で確認しようとしてしまうな.俺か.
最初,何かの自己啓発サイトかと思った.
ナリタイ
https://www.naritai.jp
なりすましメール対策について,わかりやうくその説明をしていたり,何よりもオープンリレーなどのチェックツールがついています.
「ナリタイ製作委員会」という団体が運営しているそうです.
そしてSPFのチェックツールを使って見たら・・・設定間違いがありました.先ほど修正.
DNSは今でも反映が遅いだろうからなぁ.
ナリタイ
https://www.naritai.jp
なりすましメール対策について,わかりやうくその説明をしていたり,何よりもオープンリレーなどのチェックツールがついています.
「ナリタイ製作委員会」という団体が運営しているそうです.
そしてSPFのチェックツールを使って見たら・・・設定間違いがありました.先ほど修正.
DNSは今でも反映が遅いだろうからなぁ.
