UJP - 技術情報1

Life is fun and easy!
不正IP報告数

Okan Sensor
Home Information Service Tech(Free) Tech(Member) Blog FAQ
 
メイン
ログイン

ユーザー名:


パスワード:





パスワード再発行手続き  |無料会員入会手続へ...
ブログ カテゴリ一覧
知らない人から「DHLの発送状況です: アクションが必要」というフィッシングメールがきた「フィッシングサイトはSMSコードを2度確認する」

知らない人から「DHLの発送状況です: アクションが必要」というフィッシングメールがきた「フィッシングサイトはSMSコードを2度確認する」

概要

更新履歴

  • 2024/03/27 初版

目次

はじめに

 このドキュメントはDHLを騙るフィッシングメールを調査した結果を掲載する. DHLを騙るタイプは2023年1月に「Delivery incident T673375 というDHLを騙るフィッシングメール」として調べているが,今回のものとは系統が違う.
 今回はフィッシングメールはドイツのホスティング会社の所有するIPアドレスから送信されており,侵害されたタイの学校のサイトを踏み台として,フィッシングサイトに誘導しており,CloudFlareを経由するという複数の国を跨ぐので追跡が面倒なタイプ.
 そして少額の決済をさせてクレジットカード情報を摂取しようとしているが,クレジットカード会社に通信して確認しているふりをして,SMSに番号が送ら れてきた感じになっているが,出鱈目な対応をしても通過したので,実際には何もしてないことが確認できた.「フィッシングサイトは2度確認する」

メールの確認

受信したメールとメールヘッダを確認

  • 受信したメールはこのようなもの.

お客様へ
保留中の出荷についてお知らせいたします。 この貨物には通関手続きが必要です、 そして、それに伴う料金が発生する。
$1.99の税金は、当社のウェブサイトを訪問し、提供された手順に従ってオンラインでお支払いいただけます。
情報を更新
重要なお知らせ: 配達の試みが不成功である場合、出荷は送り主に返送されます。

よろしくお願い申し上げます。
DHL EXPRESS チーム

  • 今現在,うちはDHLから送られてくる荷物の予定は無い.
  • 誘導先のトップレベルドメインはTHなのでタイ王国になる.
  • メールヘッダを確認


  • メールの送信サーバはドイツのホスティング会社Fasthosts Internet Limitedを利用している.
  • 送信者のドメインは老舗っぽい名前.

誘導先のFQDNを調べる

  • 誘導先のURLからドメイン直下のにブラウザで接続する.

  • NANGRONG SCHOOLとなっている.
  • whois情報を確認.

$ whois nangrong.ac.th🆑

Whois Server Version 2.1.7

Domain Name:                NANGRONG.AC.TH
Registrar:                  THNIC
Name Server:                NS172.BIZQSOFT.COM
Name Server:                NS171.BIZQSOFT.COM
DNSSEC:                     unsigned
Status:                     ACTIVE
Updated date:               03 Jan 2023
Created date:               02 Oct 2005
Exp date:                   01 Oct 2026
Domain Holder Organization: Nangrong School ( โรงเรียนนางรอง )
Domain Holder Street:       Personal Information*
Domain Holder Country:      TH

Tech Contact:               Personal Information*
Tech Organization:          Personal Information*
Tech Street:                Personal Information*
Tech Country:               Personal Information*

>>> Last updated on Wed, 27 Mar 2024 10:17:57 UTC+7 <<<

  • 2005年から使われている学校のドメインの模様.
  • Web Archiveを確認してみる.


  • 何らかの脆弱性によりトロイの木馬が埋め込まれた模様.

messages.comというメール送信ドメインを調べる

  • 最初にwhois情報の確認.

$ whois messages.com🆑
   Domain Name: MESSAGES.COM
   Registry Domain ID: 1189033_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.dynadot.com
   Registrar URL: http://www.dynadot.com
   Updated Date: 2023-03-03T00:39:07Z
   Creation Date: 1995-05-03T04:00:00Z🈁
   Registry Expiry Date: 2032-05-04T04:00:00Z
   Registrar: Dynadot Inc
   Registrar IANA ID: 472
   Registrar Abuse Contact Email: abuse@dynadot.com
   Registrar Abuse Contact Phone: +16502620100
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: NS1.PARKINGCREW.NET🈁
   Name Server: NS2.PARKINGCREW.NET
   DNSSEC: unsigned
   URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2024-03-27T03:30:27Z <<<

  • 最初は1995年に登録されているが,現在はドメインパーキング
  • で管理されている模様.
  • Webブラウザでアクセスすると次のようになる.

  • メールサーバを調べる.
  • まずはMXレコード.

$ dig mx messages.com🆑

; <<>> DiG 9.10.6 <<>> mx messages.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47965
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;messages.com.            IN    MX

;; ANSWER SECTION:
messages.com.        3600    IN    MX    5 mail.h-email.net.🈁

;; Query time: 28 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Mar 27 12:31:44 JST 2024
;; MSG SIZE  rcvd: 73

$
  • ホスト名がわかったのでIPアドレスを調査.

$ dig mail.h-email.net🆑

; <<>> DiG 9.10.6 <<>> mail.h-email.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40637
;; flags: qr rd ra; QUERY: 1, ANSWER: 10, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mail.h-email.net.        IN    A

;; ANSWER SECTION:
mail.h-email.net.    105    IN    A    165.227.159.144
mail.h-email.net.    105    IN    A    178.62.199.248
mail.h-email.net.    105    IN    A    5.161.98.212
mail.h-email.net.    105    IN    A    165.227.156.49
mail.h-email.net.    105    IN    A    5.75.171.74
mail.h-email.net.    105    IN    A    49.13.4.90
mail.h-email.net.    105    IN    A    167.235.143.33
mail.h-email.net.    105    IN    A    5.161.194.135
mail.h-email.net.    105    IN    A    162.55.164.116
mail.h-email.net.    105    IN    A    91.107.214.206

;; Query time: 11 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Mar 27 12:32:04 JST 2024
;; MSG SIZE  rcvd: 205

$
  • このIPアドレスをを調べると,DigitalOceanというドイツのホスティング業者の模様.
  • ドメイン情報を確認.
$ whois h-email.net🆑
   Domain Name: H-EMAIL.NET
   Registry Domain ID: 1879437448_DOMAIN_NET-VRSN
   Registrar WHOIS Server: whois.registrar.amazon.com
   Registrar URL: http://registrar.amazon.com
   Updated Date: 2023-09-04T00:19:03Z
   Creation Date: 2014-10-08T16:16:38Z🈁
   Registry Expiry Date: 2024-10-08T16:16:38Z
   Registrar: Amazon Registrar, Inc.🈁
   Registrar IANA ID: 468
   Registrar Abuse Contact Email: abuse@amazonaws.com

  • このドメインで調べると,次のような解説ページが頻繁に出てくる.
    • メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?
      • https://scan.netsecurity.ne.jp/article/2023/07/26/49726.html
  • 一時話題になったやつで利用されているもののよう.

誘導先サイトのverified.asiaにアクセスしてみた

  • メールのリンクにあったサイト(タイ王国の学校のドメイン)にアクセスしたら,次のようなサイトに転送された.

  • 本物のDHLのサイトを見たことがないが,ちゃんとそれっぽい画面が構成されている.
  • LITTLE NECKとは,ニューヨークのクイーンズにある街の模様.

誘導されたサイトのドメインを外部の評価サイトを使って検査

  • まずはWeb Pluse.


  • 次に,VirusTotal.


  • どちらも素性は良くない模様.

配達再開してみる(フィッシングサイトにアクセスしてみる)

  • 荷物保護センター?から出荷するようにしてみる.

  • いつもような普通に個人情報を要求してくる.



  • 出鱈目な情報を入力.


  • そしてこのような画面が.


  • SMSを送ってきたような感じなので,何かの数値を入力.


  • 考えている(ように見える)

  • もう一度同じ数値を入力.

  • なぜか正常に確認された模様.
広告スペース
Google