≪詐欺メールの発信元≫No12 | パパケベックの総合ブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

パパケベックの総合ブログ

ブログ記事の内容は、広帯域受信機、ニュース論評、競馬予想と結果、2015年1月からターゲットにされた遠隔テクノロジー犯罪について、パソコン・インターネットの話題、科学技術のニュースなどを書いている。ほかのブログサイトにもブログ開設している。

≪詐欺メールの発信元≫No12

≪詐欺メールの発信元≫No12

======プロバイダーメールアドレスにやって来る詐欺メール=======

●掲載項目は、【Subject】【Date】【Received】など。

●ポートスキャナーで調べた結果のオープンポート、送信元・中継元のIPアドレスと所属プロバイダー。【*】は、ステルスか、オープンポートがないことを意味する。

●詐欺メールの送信元のデータでは、相手のIPアドレスと受信サーバーの日時は正しい。したがって、それ以外の表示は、詐称可能だと考えていい。(送信者の送信時間帯なども詐称可能と言うこと)

●詐欺メール送信元のプロバイダー名、IPアドレス範囲を掲載しているものもある。

●メールのリンク先には、詐欺サイトと正規のサイトのリンクとを張っている場合がある。その場合は、ブラウザでアクセスして認証されているか確かめる必要がある。

●メール内にリンク先のないものもある。(かく乱目的がある)

●詐欺メール送信者のメーラー名は、任意で作成される。【メーラー名でメール拒否設定するのは無駄になる。】

+++++++++++++++
リンク先無
Return-Path: <fjf@amazon.co.jp>⇒受け取り拒否された場合のアマゾンサイトに送り付ける設定
Received: from source:[43.134.24.40] helo:Amazon.co.jp【テンセント】Hostname: [Unknown]【135,139,445,3389】
Subject: お支払い方法の情報を更新
Date: Sat, 29 Jul 2023 13:18:38 +0800
X-mailer: Guwa 1

-----------------------
リンク先無
Return-Path: <admin@account1181.fsnb2.com>【106.227.9.144】【China Telecom】Hostname: [Unknown]【22】
Received: from source:[106.227.9.144] helo:mail.account1181.fsnb2.com【China Telecom】Hostname: [Unknown]【22】
Subject: 「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について。メール番号:Ek2023-72648002
Date: Fri, 28 Jul 2023 19:33:27 +0800

-------------------------
正規リンク先と存在しないリンク先
Received: from source:[192.227.134.14] helo:ups-vip.co【ColoCrossing】Hostname: aristeu14.bluetrimmer.com【143,587,8888】
Received: from si (aristeu10.bluetrimmer.com [192.227.134.10])【ColoCrossing】Hostname: aristeu10.bluetrimmer.com【3389】
Subject: 【ご注意】三井住友カードお客様情報の確認 7/28/2023
Date: Fri, 28 Jul 2023 07:13:03 +0900
X-Mailer: Supmailer 38.2.0

正規リンク先
Received: from source:[156.240.117.120] helo:rakuten.co.jp【Beijing_Baidu】Hostname: [Unknown]【3389】
Subject: 【重要】楽天カードから緊急のご連絡
Date: Fri, 28 Jul 2023 06:53:01 +0800
X-mailer: Ditwngbx 7

リンク先無
Received: from source:[43.134.49.192] helo:Amazon.co.jp【テンセント】Hostname: [Unknown]【135,139,445,3389】
Subject: お支払い方法の情報を更新
Date: Fri, 28 Jul 2023 07:27:15 +0800
X-mailer: Iphoohpdf 6

---------------------

正規サイトをリンク
Received: from source:[198.46.193.75] helo:mail2.scwqg.com【RackNerd】Hostname: mail2.scwqg.com【22,1313】
Date: Thu, 27 Jul 2023 19:39:19 +0900
Subject: 【重要】解約予告のお知らせ(ETC利用照会サービス)

---------------------------------

リンク先無
Received: from source:[46.29.160.200] helo:ponta.jp【ロシアBaxet】Hostname: potential.adminph.com【22】
Subject: ポイントプレゼントのお知らせ
Date: Wed, 26 Jul 2023 14:06:09 +0800
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

--------------------------------
リンク先無
Received: from source:[43.134.24.40] helo:Amazon.co.jp【テンセント】Hostname: [Unknown]【135,139,445,3389】
Subject: お支払い方法の情報を更新
Date: Mon, 24 Jul 2023 11:40:38 +0800
X-mailer: Kreqzpwfs 3

リンク先無
Received: from source:[114.80.42.68] helo:mail.xcv4.uqvhk.com【China Telecom】Hostname: [Unknown]【22】
Subject: 「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について。メール番号:Ek2023-01677636
Date: Mon, 24 Jul 2023 12:35:42 +0800

詐欺サイトリンク先https://www.resonn.co.sjchifan.com【66.154.107.51】【ASSERTIVENET】Hostname:66.154.107.51.static.quadranet.com 【22,80,443,8888】
Received: from source:[153.120.93.151] helo:resonabank.co.jp【日本    SAKURA-ISHIKARI】【Hostname: [Unknown]】【*】
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
Subject: お取引を規制いたしました
Date: Mon, 24 Jul 2023 07:27:34 +0900


★画像を使ったフィッシングメールの可能性
詐欺サイトリンク先https://smbc-card.usecheap.com【104.21.89.129 Hostname: [Unknown]80,443,8080】【172.67.189.71 Hostname: [Unknown]80,443,8080】★正規サイトのリンク先を混在
Received: from source:[193.233.18.162] helo:ztdxnst.cn【ロシアGIR_SER-NET】Hostname: st-25.msk.host【22】
Subject: お支払い日のご案内
Date: Sun, 23 Jul 2023 23:52:43 +0700
Content-Transfer-Encoding: base64

詐欺サイトリンク先https://www.resonn.co.yunweibaset.com【66.154.107.51】【quadranet】Hostname: 66.154.107.51.static.quadranet.com【22,80,443,8888】
Received: from source:[133.242.48.154]helo:resonabank.co.jp【SAKURA-NET】Hostname: [Unknown]【3389】
Subject: お取引を規制いたしました
Date: Mon, 24 Jul 2023 04:53:37 +0900

----------------------------
リンク先無
Received: from source:[43.134.24.40] helo:Amazon.co.jp【テンセント】Hostname: [Unknown]【135,139,445,3389】
Subject: お支払い方法の情報を更新
Date: Sat, 22 Jul 2023 23:54:12 +0800
X-mailer: Vwjlwkx 8

-------------------------------
正規サイトをリンク
Received: from source:[107.172.158.174] helo:ac84.cn【cloud IT】Hostname: 107-172-158-174-host.colocrossing.com【22,110,143,465,587,8888】
Received: from ufyyzb (aristeu10.bluetrimmer.com [192.227.134.10])【ColoCrossing】Hostname: aristeu10.bluetrimmer.com【3389】
Subject: 【ご注意】三井住友カードお客様情報の確認 7/22/2023
Date: Sat, 22 Jul 2023 09:21:38 +0900

------------------------------------
リンク先無
Received: from source:[114.237.153.161] helo:amazon.co.jp【China Telecom】Hostname: [Unknown]【*icmp RST/ACK】
Subject: 【重要なお知らせ】Amazonプライムの自動更新設定を解除いたしました
Date: Fri, 21 Jul 2023 14:18:38 +0800
X-mailer: Iljs 2

リンク先無
Received: from source:[62.76.224.84] helo:smbctb.co.jp【エストニアBaxet】Hostname: [Unknown]【22,80,110,143,443】
Received: from uimpezgmr (unknown [112.51.62.107])【CMNET】Hostname: [Unknown]【*】
Subject: 【重要・緊急】入金制限のお知らせ
Date: Fri, 21 Jul 2023 07:59:53 +0800

------------------------------------------------

詐欺サイトリンク先無
Received: from source:[156.240.113.64] helo:instance-vzs30v87-27.localdomain【Baidu】Hostname: [Unknown]【22】
Subject: Amazon アカウントの支払い方法を_認できず、注文を出荷できませ_
Date: Thu, 20 Jul 2023 12:31:16 +0800

正規サイトをリンク
Received: from source:[193.233.18.168] helo:cqndien.cn【ロシアGIR_SER-NET】Hostname: MSK-H-1689384326.msk.host【22】
Subject: お支払い日のご案内
Date: Thu, 20 Jul 2023 05:50:14 +0700

正規サイトをリンク
Received: from source:[154.85.62.108] helo:instance-rh3q2oem-45.localdomain【Cloud Innovation Support】Hostname: [Unknown]【*】
Subject: 【重要なお知らせ】Amazonプライムの自動更新設定を解除いたしました
Date: Wed, 19 Jul 2023 18:54:24 +0800

詐欺サイトリンク先無
Received: from source:[118.253.156.223] helo:mail.hjfg.oxyindus.com【China Telecom】Hostname: [Unknown]【22,111】
Subject: ご利用の Amazon アカウントを一時保留いたしました
Date: Thu, 20 Jul 2023 03:09:05 +0800

詐欺サイトリンク先無
Received: from source:[118.253.156.225] helo:mail.cvb.moteian.com【China Telecom】Hostname: [Unknown]【22,111】
Subject: ご利用の Amazon アカウントを一時保留いたしました
Date: Thu, 20 Jul 2023 06:26:38 +0800
----------------------------------------------------
詐欺サイトリンク先無
Received: from source:[156.240.112.136] helo:instance-60l1g250-20.localdomain【Baidu】Hostname: [Unknown]【22】
Subject: [重要なお知らせ]アカウント更新__緊急通知
Date: Wed, 19 Jul 2023 08:41:34 +0800

詐欺サイトリンク先無
Received: from source:[154.85.63.15] helo:instance-41mgvm83-18.localdomain【Baidu】【Hostname: [Unknown]】【*】
Subject: 【重要】三井住友銀行から緊急のご連絡
Date: Tue, 18 Jul 2023 15:21:26 +0800

詐欺サイトリンク先無
Received: from source:[125.88.215.106] helo:mail.kjm.fyginw.com【China Telecom】【Hostname: [Unknown]】【22】
Subject: ご利用の Amazon アカウントを一時保留いたしました
Date: Wed, 19 Jul 2023 05:40:26 +0800

Received: from source:[154.85.60.233] helo:instance-buahv79v-02.localdomain【Baidu】【154.85.56.0 - 154.85.56.255】Hostname: [Unknown]
Subject: 【緊急の連絡】Amazon.co.jpから情報を更新してください
Date: Tue, 18 Jul 2023 05:39:00 +0800

詐欺サイトリンク先https://bk.mufg.jp.guyoute.cn?/pc/login_TRANID=AG004_001.php?GENERATORcontent=MSHTML11.00【96.45.169.14】Hostname: host-96-45-169-14-by.multacom.com 【22,80,443】【MULTA-NET8】【96.45.160.0 - 96.45.175.255】
Received: from source:[193.233.18.3]【ロシアGIR_SER-NET 193.233.18.0 - 193.233.18.255】 helo:qtsujva.cn【Hostname: MSK-H-1689384207.msk.host】【22】
Subject: 【重要】三菱UFJ銀行本人確認のお知らせ
Date: Tue, 18 Jul 2023 06:37:25 +0700

Received: from source:[172.245.224.138] helo:mail6.jerseyjux.com【ColoCrossing】【172.245.0.0 - 172.245.255.255】【Hostname: mail6.jerseyjux.com】【*】
Date: Mon, 17 Jul 2023 12:43:02 +0900
Subject: 【大切なお知らせ】解約予告のお知らせ(ETC利用照会サービス)

Received: from source:[154.85.56.77]【Baidu】【154.85.56.0 - 154.85.56.255】【Hostname: [Unknown]】【22】 helo:instance-349g72hm-45.localdomain
Subject: 【緊急の連絡】Amazonから情報を更新してください
Date: Tue, 18 Jul 2023 05:45:46 +0800

Received: from source:[122.8.180.131] 【*】【Huawei-Cloud-Mexico】helo:zggm.cloud
Received: from amelurspyy (unknown [122.8.178.150])【*】【Huawei-Cloud-Mexico】
Subject: 【ご注意】セゾンカードお客様情報の確認7/17/2023
Date: Mon, 17 Jul 2023 02:17:33 +0900
X-Mailer: Supmailer 38.2.0

Received: from source:[2605:e440:2::3a6] 【Baxet】helo:smtb.jp
Received: from bums (unknown [112.51.62.205])【*】【CMNET】
Subject: プライム会員の満期通知
Date: Mon, 17 Jul 2023 04:42:35 +0900
X-Mailer: Supmailer 38.2.0

偽装サイトリンク先https://smbc-card.usecheap.com/
【104.21.89.129】【CLOUDFLARENET】Hostname: [Unknown]【80,443,8080】
【172.67.189.71】【CLOUDFLARENET】Hostname: [Unknown]【80,443,8080】
正規サイトリンク先https://click.contact.vpass.ne.jp/?qs=fb80b9be8e7775c063d3d34a3200fbe39f54c039d8d297acf1751674c57f2e97dd4083f0c9653bf5ad6eb22bdef50cc2d1ec751404bc3efb
【13.111.228.77】【SALESF-3】Hostname: click.contact.vpass.ne.jp【80,443】
Received:from source:[194.87.218.141] helo:hdozgxq.cn【ロシアGIR_SER-NET】【194.87.218.0 - 194.87.218.255】
Subject:     お支払い日のご案内
Date:     Sat, 15 Jul 2023 22:09:37 +0700

詐欺サイトリンク先 https://accout-update-smba.jp.metabci.art/
【107.173.211.106】【80,443】【ColoCrossing】
Received:from source:[172.245.135.118]【22,110,143,465,587,8888】【ColoCrossing】 helo:miyicang.cn
Received:from zwuvucg (unknown [23.94.172.157])【3389】【ColoCrossing】 by miyicang.cn
Subject:     【ご注意】三井住友カードお客様情報の確認 7/15/2023
Date:     Sat, 15 Jul 2023 10:41:05 +0900
X-Mailer: Supmailer 38.1.1

詐欺サイト https://anna20n.undv.top/
【107.172.209.62】【RackNerd LLC】Hostname: enews-n.overlordnumber.com【22,80,443,8888】    
Received: from source:[43.153.177.100]【在日テンセント】 Hostname: [Unknown]【135,139,445,3389】helo:Amazon.co.jp
Subject:     お支払い方法の情報を更新
Date:     Fri, 14 Jul 2023 01:42:50 +0900
X-mailer:     Umcgewfpfc 8


+++++++++++++++


◆グーグルのクラウドも詐欺メール送信に利用されている

中国人と思われる詐欺グループは、グーグルのクラウドも利用。

ポートスキャンをかけたところ、リモートデスクトップに使われるTCP3389番ポートがオープンだった。

この場合、詐欺メール送信者が地球上のどこだろうと、グーグルのクラウドサイトのシステム時間が標準時間を表示する。(+000)

送信時間帯が(+000)となるようなメールの送信は、一般的な業者でも利用している。

つまり、詐欺メールの送信者は、資金を出してクラウドと契約して詐欺メールの送信を行っている。(あるいはアカウント乗っ取り)


◆詐欺メール送信者にメールアドレスを横流ししたのはアマゾン


詐欺メールが来るようになったメールアドレスは、半永久的やってくる。

詐欺メールが来るようになった原因は、アマゾンに出品している中国人(個人事業)が発送販売する商品を購入したため。

アマゾンは、中国人が雇われている。つまり、雇われた中国人が詐欺メール集団にメールアドレスを転売することで詐欺メールが送られてくることになる。

アマゾンなどのショップに雇われた中国人は、もともと詐欺メールを送ったりする悪徳集団の一員だと考えられる。それ以外では、メールアドレスの提供によって金を稼ぐことも考えられる。

◆詐欺メール対策ができているところ

現在の経験上で言えるのは、アマゾンにメールアドレスを登録して詐欺メールが一つもやってこないところは、ヤフーのフリーメールしかない。

●マイクロソフトのwebメールーーー詐欺メールが多数やってくる(アマゾンに登録したこと有)

●プロバイダーのメールーーー詐欺メールが多数やってくる(アマゾンに登録したこと有)


◆中国人の詐欺メールの送信元

詐欺メールの送信元は、各国にあるクラウドである。

詐欺メール集団がクラウドを使うのは、クラウドにメール送受信機能をインストールできるからである。したがって、メールアドレスは自在に作り出せるからアマゾンのメールアドレスをそのまま使える。

詐欺メール送信集団は、クラウドにユーザー登録などして金を払っていると考えられる。それでクラウドを運営する会社が儲かる。

そういう背景があるから日本のクラウド運営会社も詐欺メールに利用されている。


◆ポートスキャンからわかる詐欺メールを送信する奴らの組織性

詐欺メールを送ってきたIPアドレスを調べてプロバイダーを割り出し、プロバイダーのすべてのIPアドレスを調べてすべてのIPアドレスにポートスキャンをかける。

通常、一般の人が利用しているネット端末は、ステルスが多い。詐欺メールに利用されているところは、TCP22番、80番、443番、3389番が多い。それらは、中国人が中国にいながらアメリカや日本のクラウドにログインしたり、FTPサーバーにデータを送って情報の売り買いや詐欺メールの送信のために利用していると考えられる。

ウェブサイトなどのtcp80番ポートは、ポートスキャンをかけるとホスト名がないもの(サイト名)が多く、あったとしてもでたらめなサイト名で詐欺サイトに利用していると考えられる。

詐欺メールの同じ【Subject】表示でも、いろいろなプロバイダーから送信していることがわかる。その意味は、詐欺メールを送信する奴らがいくつものクラウドと契約していることを示し、その元金を犯罪組織が出している可能性もある。

メールを送って相手が騙されて勝手にカネを送ってきたり、不正ログインして送金して金が手に入るのだからおいしい商売となる。

詐欺メール集団と「オレオレ詐欺」や「タバコ詐欺」「○○○詐欺」などの犯罪グループにも関係していると考えられる。

=====詐欺メールの情報提供=====

詐欺メールは、以下のサイトを参考にメールヘッダーをコピーして転送、情報提供したほうがいい。

転送するものは、メールヘッダー。メーラーでもwebメールでもメールヘッダーを取得できる。

情報提供先メールアドレス  meiwaku@dekyo.or.jp 

転送方法は以下を参照。

『迷惑メール相談センター 情報提供のお願い』

http://www.dekyo.or.jp/soudan/contents/ihan/


●マイクロソフトなどwebメールは、詐欺メールなどの迷惑メールの報告機能があるので利用したほうがいい。それと併せて上記の情報提供を推奨。

(詐欺メール情報は、個人が受け取るメールに存在するため、調査機関が集めているためだ。)

=====================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、あちこちで対応するのが面倒になって、https://ameblo.jp/push-gci/のブログだけで対応することにした。メインブログ以外ではコメントは受け付けていない。2019年10月10日。

ameba      https://ameblo.jp/push-gci/
fc2          http://keyhole276p3mhz.blog75.fc2.com/
livedoor    http://blog.livedoor.jp/push_gci/
ameba      https://ameblo.jp/papa-quebeck/
goo          http://blog.goo.ne.jp/push-gci
jugem       http://papa-quebeck.jugem.jp/
cocolog     http://papa-quebeck.cocolog-nifty.com/blog/
hatena      https://papaquebeck.hatenablog.com/