≪詐欺メールの発信元≫No10
======パソコンメールにやって来る詐欺メール=======
●掲載項目は、【Subject】【Date】【Received】のほか、ポートスキャナーで調べた結果のオープンポート、送信元・中継元のIPアドレスと所属プロバイダー。【*】は、ステルスか、オープンポートがないことを意味する。
※日本GMOサーバーの特徴・・・ポートスキャンに対してスリーウェイハンドシェイクすることなく、RST-ACKバケットを返してきたり、ICMP不達メッセージを返してきたりする。
添付ファイルあり
Received: from source:[172.245.224.137]【22,1313】【mail5.jerseyjux.com】【アメリカColoCrossing】 helo:mail5.jerseyjux.com
Date: Sat, 1 Jul 2023 16:06:08 +0900
Subject: 【ご注意】Amazonプライム会費のお支払い方法に問題があります #919-46486047
詐欺サイトリンク先https://tcbnvck.cn?Rfunccode=1013000000&nextfunc=1013000000(すぐに消失)
詐欺サイトhttps://tcbnvck.cn【172.67.160.79=CLOUDFLARENET【,80,443,8080】】【104.21.14.199=CLOUDFLARENET【80,443,8080】】
Received: from source:[117.50.193.199] 【Hostname: yixian999.cn】【*】【UCLOUD】helo:gzzhss.cn
Subject: 【ETC】重要なお知らせ
Date: Fri, 30 Jun 2023 02:08:38 +0800
Received: from source:[206.119.173.210] 【22,80,110,111,143,443,636,3306】【アメリカCOGENT】helo:sbishinseibank.co.jp
Received: from drtl (unknown [154.205.8.56])【*】【在日Ruiou】
Subject: 【SBI新生銀行】インターネットバンキングでのお振り込み手続きの一時制限について
Date: Thu, 29 Jun 2023 12:12:12 +0800
X-Mailer: Supmailer 38.1.2
詐欺サイトリンク先https://mynembercard.point.soumu.jq.xmw012.top=【Hostname: 107.150.6.135.static.quadranet.com】【22,80,443】107.150.6.135【アメリカQUADRANET】
Received: from source:[106.75.249.201]【*】【UCLOUD】 helo:kuronekoyamato.co.jp
Subject: 【マイナポイント第2弾】で獲得した20,000円ポイントはまもなく失効します
Date: Wed, 28 Jun 2023 19:09:07 +0800
Received: from source:[118.182.96.125]【22】【China Telecom】 helo:mail.gfd.yuechiyuexiang.com
Subject: 「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について。メール番号:Ek2023-61205782
Date: Thu, 29 Jun 2023 03:01:15 +0800
Received: from source:[43.153.171.155]【在日テンセント】 helo:Amazon.co.jp
Subject: お支払い方法の情報を更新
Date: Tue, 27 Jun 2023 20:01:05 +0900
X-mailer: Qyo 5
Received: from source:[2400:8500:1302:3135:157:7:213:94] 【157.7.64.0 - 157.7.65.255 CNODE-JP3】【日本GMO】helo:service.kekenainai02.jp
Received: from oyqjxbxl (34.146.70.35)【Google LLC】
Subject: 「PayPay」異常な活動があります。関連確認を行ってください。自動配信番号61836
Date: Tue, 27 Jun 2023 21:08:35 +000
X-Mailer: Supmailer 38.2.0
Received: from bxcwnzxpw (34.146.70.35)【3389】【アメリカGoogle LLC】 by service.nermula004.jp
Subject: 「イオンカード」異常な活動があります。関連確認を行ってください。
Date: Tue, 27 Jun 2023 02:50:46 +000
X-Mailer: Supmailer 38.2.0
Received: from source:[118.253.150.179] 【22,111】【China Telecom】helo:mail.dfgg.06ix2.com
Subject: 「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について。メール番号:Ek2012-99697334
Date: Tue, 27 Jun 2023 03:42:03 +0800
Received: from source:[194.116.216.36] 【22,111】【ロシアCloudBackbone】helo:asdqwe-7.novalocal
Subject: 【重要】Amazon.co.jpアカウントの支払い方法の更新について
Date: Mon, 26 Jun 2023 04:37:01 +0800
Received: from source:[45.156.23.62] 【ロシアCloudBackbone】helo:asdqwe-2.novalocal
Subject: 【重要】Amazonアカウントの利用が中断されました
Date: Sun, 25 Jun 2023 10:20:46 +0800
Received: from source:[122.8.178.173]【*】【(ecs-122-8-178-173.compute.hwclouds-dns.com)】 【Huawei-Cloud】helo:ysnft.co
Received: from zboocvu (unknown [110.238.82.157])【*】【(ecs-110-238-82-157.compute.hwclouds-dns.com)】【Huawei-Cloud】
Subject: ご利用確認のお知らせ(ETC利用照会サービス)2023/6/25
Date: Sun, 25 Jun 2023 05:29:01 +0900
X-Mailer: Supmailer 38.2.0
Received: from source:[43.153.171.155]【在日テンセント】 helo:Amazon.co.jp
Subject: お支払い方法の情報を更新
Date: Sun, 25 Jun 2023 07:42:51 +0900
X-mailer: Hdlv 7
Received: from source:[43.153.171.155]【在日テンセント】 helo:Amazon.co.jp
Subject: お支払い方法の情報を更新
Date: Sat, 24 Jun 2023 22:08:26 +0900
リンク先【202.211.207.13】【正規サイト】
Received: from source:[198.12.127.119]【22,1313】【アメリカColoCrossing】 helo:mail2.njchangxing.com
Subject: 【大切なお知らせ】解約予告のお知らせ(ETC利用照会サービス)
Date: Sat, 24 Jun 2023 11:40:25 +0900
Received: from source:[106.75.190.11]【ホスト名 cuoaihao.cn】【*】【UCLOUD】 helo:10-13-35-130.localdomain
Subject: Amazonアカウント情報更新のお知らせ
Date: Sat, 24 Jun 2023 08:14:59 +0800
Received: from source:[106.75.218.14] 【*】【China Telecom】helo:10-23-190-228.localdomain
Subject: 【情報】 Amazon.co.jp:お客様のお_払い方法が承認されません
Date: Thu, 22 Jun 2023 16:15:31 +0800
Received: from source:[43.153.171.155] helo:Amazon.co.jp
Subject: お支払い方法の情報を更新
Date: Wed, 21 Jun 2023 22:22:28 +0900
X-mailer: Lljnfzckde 6
Received: from source:[198.12.123.226]【22,1313】【アメリカColoCrossing】helo:mail4.ary695.com
Subject: 119
Date: Tue, 20 Jun 2023 07:40:34 -0800
Received: from source:[2400:8500:1302:3131:157:7:200:201]【*icmp有り】 【157.7.64.0 - 157.7.65.255】【日本GMO】helo:service.drunkenmonkey-rosenheim.com
Subject: あなたのアカウントは異常行為で制限されています
Date: Mon, 19 Jun 2023 13:06:13 +000
X-Mailer: Supmailer 38.2.0
Received: from source:[106.75.166.61]【UCLOUD】 helo:10-13-54-250.localdomain
Subject: お客様のAmazonプライム会費のお支払い方法に問題が発生していることをお知らせいたします
Date: Tue, 20 Jun 2023 05:05:15 +0800
Return-Path: <no-reply@amazon.co.jp>【52.119.168.48 52.119.164.121 52.119.161.5 アマゾン】
Received: from source:[154.85.56.43]【22,3389】【Baidu】 helo:amazon.co.jp
Subject: お客様の Amazon.co.jp でのご注文を出荷できません
Date: Mon, 19 Jun 2023 17:46:46 +0800
X-mailer: Din 4
Received: from source:[106.75.182.192]【China Telecom Guangdong】【*】【Hostname: dhjkweb.cn=117.50.173.186【22】=UCLOUD】【China Telecom Guangdong】 helo:10-13-55-48.localdomain
Subject: Amazon株式会社から緊急のご連絡メール
Date: Sun, 18 Jun 2023 23:44:03 +0800
リンク先https://www2.etc-meisai.jp/etc/R?funccode=4609482888【Hostname: www2.etc-meisai.jp】【202.211.207.13ーー日本SOFTBANK】【443】【13.0.207.211.202.in-addr.arpa】
Received: from source:[83.229.4.207] helo:noreply0.etc-meisai.jp
Subject: 【重要なお知らせ】解約予告のお知らせ(ETC利用照会サービス
Date: Mon, 19 Jun 2023 10:26:58 +0900
+++++++++++++++
◆グーグルのクラウドも詐欺メール送信に利用されている
中国人と思われる詐欺グループは、グーグルのクラウドも利用。
ポートスキャンをかけたところ、リモートデスクトップに使われるTCP3389番ポートがオープンだった。
この場合、詐欺メール送信者が地球上のどこだろうと、グーグルのクラウドサイトのシステム時間が標準時間を表示する。(+000)
送信時間帯が(+000)となるようなメールの送信は、一般的な業者でも利用している。
つまり、詐欺メールの送信者は、資金を出してクラウドと契約して詐欺メールの送信を行っている。(あるいはアカウント乗っ取り)
◆詐欺メール送信者にメールアドレスを横流ししたのはアマゾン
詐欺メールが来るようになったメールアドレスは、半永久的やってくる。
詐欺メールが来るようになった原因は、アマゾンに出品している中国人(個人事業)が発送販売する商品を購入したため。
アマゾンは、中国人が雇われている。つまり、雇われた中国人が詐欺メール集団にメールアドレスを転売することで詐欺メールが送られてくることになる。
アマゾンなどのショップに雇われた中国人は、もともと詐欺メールを送ったりする悪徳集団の一員だと考えられる。それ以外では、メールアドレスの提供によって金を稼ぐことも考えられる。
◆詐欺メール対策ができているところ
現在の経験上で言えるのは、アマゾンにメールアドレスを登録して詐欺メールが一つもやってこないところは、ヤフーのフリーメールしかない。
●マイクロソフトのwebメールーーー詐欺メールが多数やってくる(アマゾンに登録したこと有)
●プロバイダーのメールーーー詐欺メールが多数やってくる(アマゾンに登録したこと有)
++++++++++++++++++
◆詐欺メール対策ーーー設定後の状況
1 以下のページで加入先のプロバイダーのメールの拒否設定を行った。
『詐欺メール対策(PLALAプロバイダーメール)』
設定画面は、自己流のもの。
2 送信元のIPアドレスからプロバイダーを割り出し、ポートスキャンをかけて怪しいところを割り出し、TCP flood攻撃などを行ってみた。
3 対策後の状況
不思議なことだが、詐欺メール数が減ってきた。マイクロソフトのwebメールも減少傾向がある。
◆中国人の詐欺メールの送信元
詐欺メールの送信元は、各国にあるクラウドである。
詐欺メール集団がクラウドを使うのは、クラウドにメール送受信機能をインストールできるからである。したがって、メールアドレスは自在に作り出せるからアマゾンのメールアドレスをそのまま使える。
詐欺メール送信集団は、クラウドにユーザー登録などして金を払っていると考えられる。それでクラウドを運営する会社が儲かる。
そういう背景があるから日本のクラウド運営会社も詐欺メールに利用されている。
◆ポートスキャンからわかる詐欺メールを送信する奴らの組織性
詐欺メールを送ってきたIPアドレスを調べてプロバイダーを割り出し、プロバイダーのすべてのIPアドレスを調べてすべてのIPアドレスにポートスキャンをかける。
通常、一般の人が利用しているネット端末は、ステルスが多い。詐欺メールに利用されているところは、TCP22番、80番、443番、3389番が多い。それらは、中国人が中国にいながらアメリカや日本のクラウドにログインしたり、FTPサーバーにデータを送って情報の売り買いや詐欺メールの送信のために利用していると考えられる。
ウェブサイトなどのtcp80番ポートは、ポートスキャンをかけるとホスト名がないもの(サイト名)が多く、あったとしてもでたらめなサイト名で詐欺サイトに利用していると考えられる。
詐欺メールの同じ【Subject】表示でも、いろいろなプロバイダーから送信していることがわかる。その意味は、詐欺メールを送信する奴らがいくつものクラウドと契約していることを示し、その元金を犯罪組織が出している可能性もある。
メールを送って相手が騙されて勝手にカネを送ってきたり、不正ログインして送金して金が手に入るのだからおいしい商売となる。
詐欺メール集団と「オレオレ詐欺」や「タバコ詐欺」「○○○詐欺」などの犯罪グループにも関係していると考えられる。
=====詐欺メールの情報提供=====
詐欺メールは、以下のサイトを参考にメールヘッダーをコピーして転送、情報提供したほうがいい。
転送するものは、メールヘッダー。メーラーでもwebメールでもメールヘッダーを取得できる。
情報提供先メールアドレス meiwaku@dekyo.or.jp
転送方法は以下を参照。
『迷惑メール相談センター 情報提供のお願い』
http://www.dekyo.or.jp/soudan/contents/ihan/
●マイクロソフトなどwebメールは、詐欺メールなどの迷惑メールの報告機能があるので利用したほうがいい。それと併せて上記の情報提供を推奨。
(詐欺メール情報は、個人が受け取るメールに存在するため、調査機関が集めているためだ。)
=====================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、あちこちで対応するのが面倒になって、https://ameblo.jp/push-gci/のブログだけで対応することにした。メインブログ以外ではコメントは受け付けていない。2019年10月10日。
ameba https://ameblo.jp/push-gci/
fc2 http://keyhole276p3mhz.blog75.fc2.com/
livedoor http://blog.livedoor.jp/push_gci/
ameba https://ameblo.jp/papa-quebeck/
goo http://blog.goo.ne.jp/push-gci
jugem http://papa-quebeck.jugem.jp/
cocolog http://papa-quebeck.cocolog-nifty.com/blog/
hatena https://papaquebeck.hatenablog.com/