≪詐欺メールの発信元≫No13 | パパケベックの総合ブログ
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

パパケベックの総合ブログ

ブログ記事の内容は、広帯域受信機、ニュース論評、競馬予想と結果、2015年1月からターゲットにされた遠隔テクノロジー犯罪について、パソコン・インターネットの話題、科学技術のニュースなどを書いている。ほかのブログサイトにもブログ開設している。

≪詐欺メールの発信元≫No13

≪詐欺メールの発信元≫No13


●詐欺メール対策●

8月3日以降の拒否設定でやってきたのは合計4通ーーー10日現在。【8月12日追加ーーー12日に1通やってきた。ブログを見たらしく、苦し紛れに「銀行」の部分をおそらく中国の文字コードで通過させてきた。今後も同様のものが来るか観察することにした。プララのメール拒否設定については、以下の記事を参照。】

「ぷららメール」の詐欺メール拒否設定【成果】 補足

+++++++++++++++++++++++

以下の記事にプララ、現在のドコモのメール拒否設定を記事にしている。

『「ぷららメール」の詐欺メール拒否設定【成果】 補足』
https://ameblo.jp/push-gci/entry-12814957422.html



拒否設定を素通りした原因は、From欄の「えきねっと」のかわりに「JR-EAST」を、さらに設定していない「株式会社NTTドコモ」と「un」を、Date欄の「+0800」などの代わりに「+0000」を、詐欺メール送信者が書き込んでいるため。

同じ類のものを待ち続けているが、来ない。


≪どの項目を拒否設定するか≫


詐欺メールのメールアドレスを設定しても無意味。メーラーも同様。

To欄(自分のメールアドレスを設定)を中心にしてFrom欄、Subject欄、メーラー蘭(含まない設定のために使う)、を一致条件にして拒否するしかない。その方法でも、100パーセント拒否は不可能だ。

経験上、詐欺メールの大部分を占める「アマゾン」「三井住友」「えきねっと」をFrom欄に設定すると詐欺メール送信者が無駄なことをしないためか、かなり激減する。

ただ、拒否設定に付随して詐欺メールの詐欺サイトをFlood攻撃した点が影響しているかもしれないが真相は分からない。


■パソコンメールにやって来る詐欺メール■

詐欺サイトリンク先https://zcxsewcom.22ald.com【209.141.33.29】Hostname: [Unknown]【BuyVM Services】【ポートを閉じた!】
Received: from source:[223.15.244.198] helo:mail.account1143.11ald.com【中国shanxitele tech】
From: JR-EAST <admin@account1143.11ald.com>Hostname: [Unknown]【223.15.244.198】
Subject: 「新幹線eチケットサービス」えきねっとアカウントの自動退会処理について。メール番号:Ek2023-84507239
Date: Mon, 7 Aug 2023 11:03:49 +0800

---------------------------

Received: from source:[193.169.228.45] helo:s677016.srvape.com【LLC Smart Ape】Hostname: [Unknown]【22,80】
From: "Amazon.co.jp" <information@amazon.co.jp>
Subject: 【重要】こんにちは、Amazon.co.jpカスタマーサービスです
Date: Sun, 6 Aug 2023 07:20:23 +0000


Received: from source:[206.119.178.157] helo:smbc.co.jp【COGENT】Hostname: [Unknown]【22,80,110,143,443,3306】
Received: from lvgplml (unknown [112.51.62.141])【CMNET】Hostname: [Unknown]【*】
From: 株式会社NTTドコモ <contact@smbc.co.jp>
Subject: 【重要】dカードが利用停止のお知らせ
Date: Sun, 6 Aug 2023 01:42:07 +0800
X-Mailer: Supmailer 38.2.0

--------------------------

リンク先無
Received: from source:[117.82.112.143] helo:yahoo.com【China Telecom】Hostname: [Unknown]【*】
From: "un" <kyv@yahoo.com>
Subject: UN セール Start! ブランド製品は全部8割引!
Date: Sat, 5 Aug 2023 15:56:40 +0800
X-mailer: Ymsv 8

###########↑2023年8月3日メール 拒否設定追加↑##############

リンク先無
Return-Path: <contact@smbc.co.jp>
Received: from source:[206.119.160.86] helo:smbc.co.jp【COGENT】Hostname: [Unknown]【11,21,22,80,110,111,143,443,3306】
Received: from wkukjyp (unknown [167.88.183.18])【2EZ-NETWORK】Hostname: [Unknown]【3389】
From: 三井住友信託銀行  <contact@smbc.co.jp>
Subject: 【自動メール配信】三井住友信託銀行で不正ログインを検知
Date: Thu, 3 Aug 2023 01:04:17 +0800
X-Mailer: Supmailer 38.1.2

------------------------------
リンク先無
Received: from source:[206.119.178.139] helo:smtb.jp【COGENT】Hostname: [Unknown]【22,80,110,143,443,3306】
Received: from lh (unknown [167.88.183.205])【2EZ-NETWORK】Hostname: [Unknown]【3389】
From: 三井住友信託銀行 <contact@smtb.jp>
Subject: 【自動メール配信】三井住友信託銀行で不正ログインを検知
Date: Wed, 2 Aug 2023 17:08:19 +0800
X-Mailer: Supmailer 38.1.2

リンク先無
Received: from source:[45.207.49.118] helo:mizuho.co.jp【SONDERCLOUD】Hostname: [Unknown]【22,80,110,143,443,3306】
Received: from gz (unknown [14.1.98.203])【NANNING-CN】Hostname: [Unknown]【3389】
From: 三井住友信託?行 <contact@smbc.co.jp>【?は、異なる文字コードを使っている】
Date: Wed, 2 Aug 2023 08:12:26 +0800
Subject: 【重要】三井住友信託?行利用制限のお知らせ【?は、異なる文字コードを使っている】
X-Mailer: Supmailer 38.2.0

########### 2023-0801メール拒否設定追加↑ ############

リンク先無
Received: from source:[45.207.49.233] helo:mizuho.co.jp【SONDERCLOUD】Hostname: [Unknown]【22,80,110,143,443,3306】
Received: from fkzhgxe (unknown [14.1.98.203])【NANNING-CN】Hostname: [Unknown]【3389】
From: 三井住友?行 <contact@smbc.co.jp>【?は、異なる文字コードを使っている】
Date: Tue, 1 Aug 2023 07:47:02 +0800
Subject: 【緊急】三井住友?行からの制限通知【?は、異なる文字コードを使っている】
X-Mailer: Supmailer 38.2.0

リンク先無
Return-Path: <store-news@aeon.com>【45.60.244.206】【Incapsula Inc】Hostname: [Unknown]【11,21,53,66,80,81,88,89,98,118,119,389,443,445,457,465,587,636,900,1024,1025,1028,1029,1080,1352,1433,1494,1521,1720,2000,2001,2049,2433,3268,3306,3389,4000,4001,4002,4444,5000,5222,5556,5678,5800,5900,5901,6000,6666,7000,7001,7002,7070,7100,7777,8000,8001,8010,8080,8081,8100,8383,8888,9090,10000,12345】
From: "amazon.co.jp" <store-news@aeon.com>
Received: from source:[175.165.164.243] helo:aeon.com【China UNICOM】Hostname: [Unknown]【*】
Subject: 【重要なお知らせ】Amazonプライムの自動更新設定を解除いたしました
Date: Tue, 1 Aug 2023 05:38:52 +0800
X-mailer: Pcx 3

+++++++++++++++


◆グーグルのクラウドも詐欺メール送信に利用されている

中国人と思われる詐欺グループは、グーグルのクラウドも利用。

ポートスキャンをかけたところ、リモートデスクトップに使われるTCP3389番ポートがオープンだった。

この場合、詐欺メール送信者が地球上のどこだろうと、グーグルのクラウドサイトのシステム時間が標準時間を表示する。(+000)

送信時間帯が(+000)となるようなメールの送信は、一般的な業者でも利用している。

つまり、詐欺メールの送信者は、資金を出してクラウドと契約して詐欺メールの送信を行っている。(あるいはアカウント乗っ取り)


◆詐欺メール送信者にメールアドレスを横流ししたのはアマゾン


詐欺メールが来るようになったメールアドレスは、半永久的やってくる。

詐欺メールが来るようになった原因は、アマゾンに出品している中国人(個人事業)が発送販売する商品を購入したため

アマゾンは、中国人が雇われている。つまり、雇われた中国人が詐欺メール集団にメールアドレスを転売することで詐欺メールが送られてくることになる。

アマゾンなどのショップに雇われた中国人は、もともと詐欺メールを送ったりする悪徳集団の一員だと考えられる。それ以外では、メールアドレスの横流しによって金を稼ぐことも考えられる。

◆詐欺メール対策ができているところ

現在の経験上で言えるのは、アマゾンにメールアドレスを登録して詐欺メールが一つもやってこないところは、ヤフーのフリーメールしかない。

●マイクロソフトのwebメールーーー詐欺メールが多数やってくる(アマゾンに登録したこと有)

●プロバイダーのメールーーー詐欺メールが多数やってくる(アマゾンに登録したこと有)


◆中国人の詐欺メールの送信元

詐欺メールの送信元は、各国にあるクラウドである。

詐欺メール集団がクラウドを使うのは、クラウドにメール送受信機能をインストールできるからである。したがって、メールアドレスは自在に作り出せるからアマゾンのメールアドレスをそのまま使える。

詐欺メール送信集団は、クラウドにユーザー登録などして金を払っていると考えられる。それでクラウドを運営する会社が儲かる。

そういう背景があるから日本のクラウド運営会社も詐欺メールに利用されている。


◆ポートスキャンからわかる詐欺メールを送信する奴らの組織性

詐欺メールを送ってきたIPアドレスを調べてプロバイダーを割り出し、プロバイダーのすべてのIPアドレスを調べてすべてのIPアドレスにポートスキャンをかける。

通常、一般の人が利用しているネット端末は、ステルスが多い。詐欺メールに利用されているところは、TCP22番、80番、443番、3389番が多い。それらは、中国人が中国にいながらアメリカや日本のクラウドにログインしたり、FTPサーバーにデータを送って情報の売り買いや詐欺メールの送信のために利用していると考えられる。

ウェブサイトなどのtcp80番ポートは、ポートスキャンをかけるとホスト名がないもの(サイト名)が多く、あったとしてもでたらめなサイト名で詐欺サイトに利用していると考えられる。

詐欺メールの同じ【Subject】表示でも、いろいろなプロバイダーから送信していることがわかる。その意味は、詐欺メールを送信する奴らがいくつものクラウドと契約していることを示し、その元金を犯罪組織が出している可能性もある。

メールを送って相手が騙されて勝手にカネを送ってきたり、不正ログインして送金して金が手に入るのだからおいしい商売となる。

詐欺メール集団と「オレオレ詐欺」や「タバコ詐欺」「○○○詐欺」などの犯罪グループにも関係していると考えられる。

=====詐欺メールの情報提供=====

詐欺メールは、以下のサイトを参考にメールヘッダーをコピーして転送、情報提供したほうがいい。

転送するものは、メールヘッダー。メーラーでもwebメールでもメールヘッダーを取得できる。

情報提供先メールアドレス  meiwaku@dekyo.or.jp 

転送方法は以下を参照。

『迷惑メール相談センター 情報提供のお願い』

http://www.dekyo.or.jp/soudan/contents/ihan/


●マイクロソフトなどwebメールは、詐欺メールなどの迷惑メールの報告機能があるので利用したほうがいい。それと併せて上記の情報提供を推奨。



=====================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、あちこちで対応するのが面倒になって、https://ameblo.jp/push-gci/のブログだけで対応することにした。メインブログ以外ではコメントは受け付けていない。2019年10月10日。

ameba      https://ameblo.jp/push-gci/
fc2          http://keyhole276p3mhz.blog75.fc2.com/
livedoor    http://blog.livedoor.jp/push_gci/
ameba      https://ameblo.jp/papa-quebeck/
goo          http://blog.goo.ne.jp/push-gci
jugem       http://papa-quebeck.jugem.jp/
cocolog     http://papa-quebeck.cocolog-nifty.com/blog/
hatena      https://papaquebeck.hatenablog.com/