UJP - 技術情報2 : Maltegoで迷惑メールを可視化してみる2020.06.06版 Maltego/4.2.9/01/20200606

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

Page Top

はじめに anchor.png Edit

 迷惑メールが到着して数時間経過していると,分析しようにもサイトが閉鎖されていることが多い.それはそれで対応者は優秀だと思うのだけれど,分析の訓練をしている私にとっては,ちょっと残念.

 そう思っていた矢先,とうとう迷惑メールが到着して数分で気付いたので,さっそく可視化をしてみた.

Page Top

メールから情報を収集する anchor.png Edit

 基本的には,メールヘッダの中にあるメールサーバのIPアドレス,ドメインと,フィッシングサイトなので誘導用のサイトのURLがあるので,そのホスト名,ドメイン名の情報を収集する.

index.php?page=view&file=7248&MeiwakuMail20200606_01.png

 今回はアマゾンを語るフィッシングサイト.

index.php?page=view&file=7249&MeiwakuMail20200606_02.png

 まずはメールヘッダ.Amazonじゃなくてアーゾンになっている.

 メールサーバのFQDNをゲット.  

index.php?page=view&file=7250&MeiwakuMail20200606_03.png

 それぞれのFQDNからIPアドレスを調査.香港の模様.

index.php?page=view&file=7251&MeiwakuMail20200606_04.png

 フィッシングサイトが使っているIPアドレスに割り当てられている別のドメインを調査.

 見た目でこれは危ないというようなドメインが散見される.

index.php?page=view&file=7252&MeiwakuMail20200606_05.png

 数あるドメインのうちで,1つを適当にピックアップしてWebサイトがあることを確認.

index.php?page=view&file=7253&MeiwakuMail20200606_06.png

 検出されたFQDNは,ベトナムのセキュリティベンチャー会社CyRadarから疑わしいサイトとして評価されている模様.

Page Top

フィッシングサイトにアクセスしてみる anchor.png Edit

 迷惑メール到着ほやほやなので,フィッシングサイトにアクセスしてみた.  

index.php?page=view&file=7254&MeiwakuMail20200606_07.png

 よくある典型的なログインサイトを模したものになっている.

index.php?page=view&file=7255&MeiwakuMail20200606_08.png

 存在しなさそうな適当なメールアドレスを入力.

index.php?page=view&file=7256&MeiwakuMail20200606_09.png

 パスワードも適当に入力.

index.php?page=view&file=7257&MeiwakuMail20200606_10.png

 ログインできました.

 そして個人情報を投入しろという画面になる.

 よくみると,お届け先がアメリカになっている...

index.php?page=view&file=7258&MeiwakuMail20200606_11.png

 今回はChromiumを使っているのだけれど,サイトのソースコードを表示.

index.php?page=view&file=7260&MeiwakuMail20200606_13.png

 アマゾンのロゴのファイルが登録されている.これは本物を登用したに違いない.

index.php?page=view&file=7259&MeiwakuMail20200606_12.png

 back.pngという画像を確認.

index.php?page=view&file=7261&MeiwakuMail20200606_14.png

 ログイン画面の後ろに表示されているものが1枚の画像になっている.

 この画像も日本向け. 

index.php?page=view&file=7262&MeiwakuMail20200606_15.png

 気になったのがこのURL.

index.php?page=view&file=7263&MeiwakuMail20200606_16.png

 このs.amazon-adsystem.comを調査すると,アマゾンの正式な広告サイトの模様.

 この広告IDを調査すれば,犯人のたどり着けるかもしれない...ただの偽装かもしれないが,つまりフィッシングサイトを見るだけで犯人に広告収入が入る可能性があるのかと.


トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   ページ新規作成 全ページ一覧 単語検索 最新ページの一覧   ヘルプ   最新ページのRSS 1.0 最新ページのRSS 2.0 最新ページのRSS Atom
Counter: 756, today: 2, yesterday: 0
最終更新: 2020-06-06 (土) 21:08:52 (JST) (1381d) by nobuaki

広告スペース
Google