Life is fun and easy!
不正IP報告数
Okan Sensor
ページへ戻る
− Links
印刷
Maltego/4.2.9/01/20200619
の編集 ::
UJP
tech_regist2
:
Maltego
/
4.2.9
/
01
/
20200619
の編集
Maltego/4.2.9/01/20200619 の編集
詳細な入力項目を表示
ページタイトル
( 空白で自動設定 )
:
ページ並び順
( 0-9 小数可 標準:1 )
:
ページ別名
(複数は[
改行
]で区切る)
:
ページ内容:
*Maltegoで迷惑メールを可視化してみる2020.06.19版 [#z469e05d] **はじめに [#k4b6776f] いつも可視化の訓練のために使っている迷惑メールだけれど,今回はこれまでと違い次のような要素が. +楽天を騙るメール +迷惑メールが到着して5分程度で気づいた 過去の体験から,迷惑メール発見から数時間程度するとフィッシング先のサイトは閉じられていることが多いけれど,今回はサンプリングできるのかな?と期待してみる. **読み取れる情報の確認 [#acbb1081] 今回来たフィッシングメール. #ref(site://modules/xelfinder/index.php?page=view&file=7331&spam20200619_01_mail.png,center,mw:600,mh:600) 楽天市場カスタマーを騙っているが,返信先のinforというのは正当なメールアドレスなのだろうか. 日本語もおかしい.「これは、カードが期限切れになったか。請求先住所が変更されたなど」とある.句読点に違和感があるので,わかりやすい. そして電話番号も記載されている点が,最近受け取ったフィッシングメールの中にない特徴. #ref(site://modules/xelfinder/index.php?page=view&file=7330&spam20200619_02_mail_header.png,center,mw:600,mh:600) まずメールヘッダを確認.ご丁寧に,該当のメールアドレスはmyspaceから流出したものなので,それが記載されている. そのほかは,メールサーバのIPアドレスなどが見て取れる. #ref(site://modules/xelfinder/index.php?page=view&file=7329&spam20200619_03_mail_body.png,center,mw:600,mh:600) 本文には,フィッシング先のURLが記載. 楽天のURLに見せかけて,結局.xyzになっているよくあるパターン.スマホのブラウザでみると,先頭の文字しか表示されなかったりすることを利用した詐欺. #ref(site://modules/xelfinder/index.php?page=view&file=7328&spam20200619_04_mail_body.png,center,mw:600,mh:600) もう1つURLが存在しているが,これはユーザ識別のためと思われるパラメータがついているので,メール配信サービスを利用しているのかと想像. **調査 [#cafbf4b1] まずは仕入れたIPアドレスからAbuseIPDBで確認. #ref(site://modules/xelfinder/index.php?page=view&file=7326&spam20200619_05_abuseipdb.png,center,mw:600,mh:600) 半数以上は,問題のあるIPアドレスだとされている. #ref(site://modules/xelfinder/index.php?page=view&file=7327&spam20200619_05_webAccess.png,center,mw:600,mh:600) メールを配信したサーバにアクセスして見たけれど,ここは404で何も用意されてない模様. #ref(site://modules/xelfinder/index.php?page=view&file=7325&spam20200619_06_robotex.png,center,mw:600,mh:600) 今回はRobotexというサイトを使ってFQDNを調査.実際に割り当てられているIPアドレスが確認できた. #ref(site://modules/xelfinder/index.php?page=view&file=7324&spam20200619_07_aguse.png,center,mw:600,mh:600) また,これも今回初めてaguseというサイトを利用. ドメインがまだ取得されてから1ヶ月程度であることがわかるけれど,それ以上の情報は今回は取れなかった. #ref(site://modules/xelfinder/index.php?page=view&file=7323&spam20200619_08_IPaddress_virustotal.png,center,mw:600,mh:600) Maltegoを使って,VirusTotalでチェックを実行すると,IPアドレスに対して複数のハッシュ値が. #ref(site://modules/xelfinder/index.php?page=view&file=7322&spam20200619_09_Hash_virustotal.png,center,mw:600,mh:600) それらを展開すると,見るも無残に... #ref(site://modules/xelfinder/index.php?page=view&file=7321&spam20200619_10_TelephoneNumber_google.png,center,mw:600,mh:600) そして電話番号をGoogleで検索すると,なりすまし詐欺メールという情報が次々と出てきます.この電話番号は使われてないのだろうなぁ.
編集の要約:
Q & A 認証:
ページ更新時は次の質問にお答えください。(プレビュー時は必要ありません)
Q:
「大阪」の読みがな?(ひらがなで)
A:
お名前:
タイムスタンプを変更しない
テキスト整形のルールを表示する
[1]
添付ファイル
[2]
:
Links list
(This host) = http://www.ujp.jp
(This host)
/modules/tech_regist2/?cmd=edit&help=true&page=Maltego%2F4.2.9%2F01%2F20200619
(This host)
/modules/tech_regist2/?plugin=attach&pcmd=list&refer=Maltego%2F4.2.9%2F01%2F20200619
![[PukiWiki]](http://www.ujp.jp/modules/tech_regist2/image/pukiwiki.png "[PukiWiki]")
