Maltegoで迷惑メールを可視化してみる2020.06.19版

Maltegoで迷惑メールを可視化してみる2020.06.19版

はじめに

　いつも可視化の訓練のために使っている迷惑メールだけれど，今回はこれまでと違い次のような要素が．

1. 楽天を騙るメール
2. 迷惑メールが到着して５分程度で気づいた

　過去の体験から，迷惑メール発見から数時間程度するとフィッシング先のサイトは閉じられていることが多いけれど，今回はサンプリングできるのかな？と期待してみる．

読み取れる情報の確認

　今回来たフィッシングメール．

　楽天市場カスタマーを騙っているが，返信先のinforというのは正当なメールアドレスなのだろうか．

　日本語もおかしい．「これは、カードが期限切れになったか。請求先住所が変更されたなど」とある．句読点に違和感があるので，わかりやすい．

　そして電話番号も記載されている点が，最近受け取ったフィッシングメールの中にない特徴．

　まずメールヘッダを確認．ご丁寧に，該当のメールアドレスはmyspaceから流出したものなので，それが記載されている．

　そのほかは，メールサーバのIPアドレスなどが見て取れる．

　本文には，フィッシング先のURLが記載．

　楽天のURLに見せかけて，結局.xyzになっているよくあるパターン．スマホのブラウザでみると，先頭の文字しか表示されなかったりすることを利用した詐欺．

　もう１つURLが存在しているが，これはユーザ識別のためと思われるパラメータがついているので，メール配信サービスを利用しているのかと想像．

調査

　まずは仕入れたIPアドレスからAbuseIPDBで確認．

　半数以上は，問題のあるIPアドレスだとされている．

　メールを配信したサーバにアクセスして見たけれど，ここは404で何も用意されてない模様．

　今回はRobotexというサイトを使ってFQDNを調査．実際に割り当てられているIPアドレスが確認できた．

　また，これも今回初めてaguseというサイトを利用．

　ドメインがまだ取得されてから１ヶ月程度であることがわかるけれど，それ以上の情報は今回は取れなかった．

　Maltegoを使って，VirusTotalでチェックを実行すると，IPアドレスに対して複数のハッシュ値が．

　それらを展開すると，見るも無残に．．．

　そして電話番号をGoogleで検索すると，なりすまし詐欺メールという情報が次々と出てきます．この電話番号は使われてないのだろうなぁ．