【追加更新】≪詐欺メールの発信元≫No18　拒否設定後の動向

11月9日のトップ記事がここの記事

詐欺メール送る奴が閲覧しているんだろうと思うと面白い。テンセントの奴の後は、KDDIの奴、吸収されたビッグローブの奴が詐欺メール送ってきている。

-------------------------------------------------

≪詐欺メールの発信元≫No18

9月25日、詐欺メールを送信してくるところに集中的なフラッド攻撃後、詐欺メールが来なくなっていた。

その日以降で詐欺メールが来たのは、拒否設定を潜り抜けるもの。

●条件に加えていない送信名（Apple、こちらのメール名）

●送信者名に全角のローマ字を入れていないもの（ETCとＥＴＣ）

●メール本文が中国の文字コードを使ったもの

●一度に10通以上送信してきた詐欺メールは、ほとんど同じ詐欺サイトをリンクしていた

≪テンセント系のクラウド≫

テンセントと言うのは中華系のクラウドで日本にも支店のようなものがある。日本に在籍する中国人ならテンセントなどを使って日本から詐欺メールを送信する。

以下の詐欺メールを見てもわかるようにテンセント系のクラウドの多数のIPアドレスから送信しているのがわかる。それらの詐欺メールの特徴は、メール本文が中国の文字コード、相手のメールサーバー名が同じような形式（VM-0-9-centos.localdomain　などで　VM　が同じで異なるのは　0-9　の数字だけ）、中継サーバーがあり、それも同じクラウド内のもので同じユーザー名　from userid 48　である。

つまり、テンセント系のクラウドからの詐欺メールは、同一人物で、フラッド攻撃されてサーバーに負荷がかかった腹いせにたくさんの詐欺メールを立て続けにIPアドレスを変えながら送信してきたことがわかる。

詐欺メールの内容自体はつまらないものばかり。

詐欺メール送信者名となるのは、recieved欄のheloに記載されているVM-0-9-centos.localdomainなどである。それは、from欄の名称は、改ざんされたものを意味する。

手口が見えてきたので11月1日に拒否設定に追加した。

**********************

◆11月6日追加

11月1日の拒否設定後、テンセント系のクラウドからの詐欺メールが途絶えた。

煽ってやるためフラッド攻撃を加えたものの、やってこないところは拒否設定が効果ある様子だ。

しかしながら、別のクラウドから送信すれば、どれだけ拒否設定を潜り抜けてくるかわからないところはある。

**************************

≪日本のプロバイダーでクラウドをやっているところは詐欺メールの温床となっている≫

日本のプロバイダーでクラウドをやっているところは、詐欺メールの送信元を提供している。XSERVERもその一つ。KDDIのクラウドにも詐欺メールの送信元を提供しているものもある。

他には、在日テンセント、在日Ucloud等だ。

====2023年11月1日までの詐欺メール====

詐欺サイトリンク先　https://iyuxnxja.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.156.3.121] helo:VM-0-9-centos.localdomain【テンセント＝16 COLLYER QUAY】【22,80】
Received: by VM-0-9-centos.localdomain (Postfix, from userid 48)
Subject: ETC
From: E T C

詐欺サイトリンク先　https://1014et.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.133.74.244] helo:VM-0-10-centos.localdomain【テンセント＝16 COLLYER QUAY】【22,80】
Received: by VM-0-10-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 12:10:36 +0000
From: E T C

詐欺サイトリンク先　https://rfdsnas.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.130.2.227] helo:VM-0-7-centos.localdomain【テンセント＝16 COLLYER QUAY】【22,80】
Received: by VM-0-7-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 12:13:52 +0000
From: E T C

詐欺サイトリンク先　https://elcusg.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[170.106.192.90] helo:VM-0-7-centos.localdomain【テンセント＝16 COLLYER QUAY】【22,80】
Received: by VM-0-7-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 12:14:49 +0000
From: E T C

詐欺サイトリンク先　https://qtbakayg.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.134.120.186] helo:VM-0-8-centos.localdomain【テンセント＝16 COLLYER QUAY】【22,80】
Received: by VM-0-8-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 12:19:32 +0000
From: E T C

詐欺サイトリンク先　https://1012cygs.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.133.74.244] helo:VM-0-10-centos.localdomain【テンセント＝16 COLLYER QUAY】【22,80】
Received: by VM-0-10-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 14:10:00 +0000
From: E T C

詐欺サイトリンク先　https://ytxzplj.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.130.2.227] helo:VM-0-7-centos.localdomain【テンセント16 COLLYER QUAY】【43.130.0.0 - 43.130.63.255】【22,80】
Received: by VM-0-7-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 14:13:04 +0000
From: E T C

詐欺サイトリンク先　https://tgfhush.com/【43.133.199.163】【テンセント＝16 COLLYER QUAY】
Received: from source:[170.106.192.90] helo:VM-0-7-centos.localdomain【テンセント16 COLLYER QUAY】【170.106.0.0 - 170.106.167.255】【22,80】
Received: by VM-0-7-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 14:13:52 +0000
From: E T C

詐欺サイトリンク先　https://tgfetga.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.134.120.186] helo:VM-0-8-centos.localdomain【43.134.64.0 - 43.134.127.255】【テンセント＝6 COLLYER QUAY】【22,80】
Received: by VM-0-8-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 14:33:21 +0000
From: E T C

詐欺サイトリンク先　https://1013ysfaa.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.163.213.231] helo:VM-0-17-centos.localdomain【43.163.192.255 - 43.163.255.255】【テンセント＝6 COLLYER QUAY】【22,80,443,8888】
Received: by VM-0-17-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 16:22:53 +0000
From: E T C

詐欺サイトリンク先　https://etnxvfde1009.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[119.28.161.202] helo:VM-0-36-centos.localdomain【TencentCloud】【119.28.144.0 - 119.28.163.255】【22,80】
Received: by VM-0-36-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 16:32:07 +0000
From: E T C

詐欺サイトリンク先　https://etnxvfde1009.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.135.150.193] helo:VM-4-17-centos.localdomain【22,80】
Received: by VM-4-17-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 16:41:47 +0000
From: E T C

詐欺サイトリンク先　https://1010ashs.com/【43.133.5.237】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】【43.133.0.0 - 43.133.31.255】
Received: from source:[43.156.0.106] helo:VM-0-45-centos.localdomain【テンセント＝16 COLLYER QUAY】【43.156.0.0 - 43.156.255.255】【22,80】
Received: by VM-0-45-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 16:50:04 +0000
From: E T C

詐欺サイトリンク先　https://qtbayhs.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[43.135.161.127] helo:VM-4-2-centos.localdomain【テンセント＝16 COLLYER QUAY】【43.135.128.0 - 43.135.191.255】【22,80】
Received: by VM-4-2-centos.localdomain (Postfix, from userid 48)
Subject: ETC
Date: Tue, 31 Oct 2023 19:49:04 +0000
From: E T C

詐欺サイトリンク先　https://ewsxtbf.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[150.109.239.11] helo:VM-0-40-centos.localdomain【テンセント＝16 COLLYER QUAY】【150.109.208.0 - 150.109.255.255】【22,80】
Received: by VM-0-40-centos.localdomain (Postfix, from userid 48)
From: E T C
Subject: ETC
Date: Tue, 31 Oct 2023 19:52:03 +0000

詐欺サイトリンク先 https://iyuxahf.com/【43.133.199.163】【22,80,443,8888】【テンセント＝16 COLLYER QUAY】
Received: from source:[49.51.182.174] helo:VM-0-14-centos.localdomain【TencentCloud】【49.51.0.0 - 49.51.255.255】【22,80】
From: E T C
Subject: ETC
Date: Tue, 31 Oct 2023 19:52:58 +0000

詐欺サイトリンク先 https://ghmfnmym.gaoqa.com/mfghmghm/【104.21.31.10】【80,443,8080】【CLOUDFLARENET】【104.16.0.0 - 104.31.255.255】【172.67.174.157】【80,443,8080】【CLOUDFLARENET】【172.64.0.0 - 172.71.255.255】
Received: from source:[118.194.231.51] helo:mail.zluwhlg.cn【UCLOUD-HK】【118.194.228.0 - 118.194.231.255】【22,111,8080】
From: Apple <apple-support@id.apple.com>
Subject: Appleデバイスを使ってお支払い情報を確認
Date: Wed, 1 Nov 2023 04:54:03 +0900

詐欺サイトリンク先　https://tgfhush.com/【43.133.199.163】【22,80,443,8888】
Received: from source:[43.135.163.93] helo:VM-4-12-centos.localdomain【テンセント＝16 COLLYER QUAY】【43.135.128.0 - 43.135.191.255】【22,80】
Subject: ETC
Date: Tue, 31 Oct 2023 08:57:53 +0000
From: E T C

Received: from source:[43.135.163.93] helo:VM-4-12-centos.localdomain【22,80】
Subject: ETC
Date: Tue, 31 Oct 2023 09:05:55 +0000
From: E T C

Received: from source:[43.153.174.195] helo:VM-0-3-centos.localdomain【22,80】
From: E T C
Subject: ETC
Date: Tue, 31 Oct 2023 09:14:47 +0000

Received: from source:[43.133.133.209] helo:VM-4-10-centos.localdomain【22,80】
From: E T C
Subject: ETC
Date: Tue, 31 Oct 2023 09:15:57 +0000

+++++++++++++

Received: from source:[170.106.111.24] helo:mail.677003.cc【テンセント16 COLLYER QUAY】【170.106.0.0 - 170.106.167.255】Hostname: [Unknown]【22】
From: no-reply@677003.cc
Subject: noreply
Date: Sun, 29 Oct 2023 22:42:03 +0900

詐欺サイトリンク先 https://www.suport.admapple.com/【103.165.81.95】103.165.80.0 - 103.165.81.255】【HKOTC-HK】Hostname: [Unknown]【7,9,11,21,22,80,443】
Received: from source:[118.194.237.142] helo:mail.hzqcfw.com.cn【*】Hostname: [Unknown]
From: Apple <apple-support@hzqcfw.com.cn>
Subject: Appleデバイスを使ってお支払い情報を確認
Date: Mon, 30 Oct 2023 04:59:35 +0900

詐欺サイトリンク先 https://suport.accapplen.com/【103.165.81.224】【103.165.80.0 - 103.165.81.255】【HKOTC-HK】Hostname: [Unknown]【22,80,443,799,1745,5800】
Received: from source:[118.194.237.2] helo:mail.dwzythi.cn【118.194.236.0 - 118.194.237.255】【UCLOUD-JP】Hostname: [Unknown]【22,111,8080】
Subject: Appleデバイスを使ってお支払い情報を確認
From: Apple <apple-support@dwzythi.cn>
Date: Sun, 29 Oct 2023 03:27:57 +0900

詐欺サイトリンク先　https://suport.accapplen.com/【103.209.129.140】Hostname: [Unknown]【7,9,11,22,80,443】【KAAL TECH】【103.209.128.0 - 103.209.129.255】★2023-1028-18:30以降ダウン
Received: from source:[118.194.237.42] helo:mail.gitsecops.com【22,111,8080】Hostname: [Unknown]★2023-1028-18:30以降ダウン
Subject: Appleデバイスを使ってお支払い情報を確認
Date: Sat, 28 Oct 2023 03:01:03 +0900
From: Apple <apple-support@gitsecops.com>

詐欺サイトリンク先　https://www.accapplen.com/【103.209.129.140】Hostname: [Unknown]【22,79,80,443,10000,32770】【KAAL TECH】【103.209.128.0 - 103.209.129.255】
Received: from source:[118.194.236.178] helo:mail.dnixbtk.cn【22,111,8080】Hostname: [Unknown]【118.194.236.0 - 118.194.237.255】【UCLOUD-JP】★2023-1028-18:30以降ダウン
From: Apple <apple-info@dnixbtk.cn>
Subject: Appleデバイスを使ってお支払い情報を確認
Date: Fri, 27 Oct 2023 05:23:35 +0900

詐欺サイトリンク先　https://www.etc-meisai.kcu84.com（メールの表示　https://www2.etc-meisai.jp/web/action?code=169654 ）【192.210.215.154】【RackNerd LLC】【192.210.215.128 - 192.210.215.159】Hostname: mail2.omn265.com【22,80,443】
Received: from source:[205.234.153.211] helo:mail1.spcinvest.com【RackNerd LLC】【205.234.153.208 - 205.234.153.215】Hostname: mail1.spcinvest.com【22,1313】
Date: Wed, 25 Oct 2023 14:22:42 +0900
From: ＥＴＣ利用照会サービス <account-update@spcinvest.com>
Subject: 解約予告のお知らせ（ＥＴＣ利用照会サービス）

詐欺サイトリンク先　https://trk-mkt.tason.com/【119.207.76.97】【Korea Telecom】【119.192.0.0 - 119.223.255.255】Hostname: [Unknown]【80,443】
Received: from source:[162.43.121.195] helo:sv14394.xserver.jp【XSERVER】【162.43.121.0 - 162.43.121.255】Hostname: sv14394.xserver.jp【80,110,143,443,465,587】
Received: from WIN-Q9KQEBCDB0K (f107-pc199.cty-net.ne.jp 【CTY Internet】[210.149.155.199])【210.149.152.0 - 210.149.159.255】Hostname: f107-pc199.cty-net.ne.jp【クローズポート多数】
Subject: Violet.plala.or.jp-Notification Alerts:Tuesday, October 24, 2023

詐欺サイトリンク先　https://aeon.menerm.xyz【108.186.251.151】【在米中国Zang Huaqiang】【108.186.251.128 - 108.186.251.191】Hostname: [Unknown]【22,80,443,3306】
Received: from source:[152.32.144.226] helo:mail.tuitebao.cn【在日UCLOUD-JP】【152.32.144.0 - 152.32.147.255】Hostname: [Unknown]【22,111,8080】フラッド攻撃後2023-1008-20:59down
Date: Sat, 7 Oct 2023 19:31:36 +0900
From: "イオンフィナンシャルサービス株式会社" <aeon@id.apple.com>
Subject: カード利用制限に関するお知らせ

++++++++++++++↑↑↑9月25日↑↑↑++++++++++++++

◆行政が詐欺メールに取り組めるように情報提供する必要がある

以下のサイトを参考にして詐欺メール情報を送ったほうがいい。

『迷惑メール相談センター　情報提供のお願い』

http://www.dekyo.or.jp/soudan/contents/ihan/

注・・・・マイクロソフトのwebメールでは、サイトが詐欺メールに判断したものについて『転送』ボタンが機能しないため、転送不能。マイクロソフトらしい余計なお世話だ。・・・・・・・1か月以内に仕様変更して転送できるようになった。

=====================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、あちこちで対応するのが面倒になって、https://ameblo.jp/push-gci/のブログだけで対応することにした。メインブログ以外ではコメントは受け付けていない。2019年10月10日。

ameba      https://ameblo.jp/push-gci/
fc2          http://keyhole276p3mhz.blog75.fc2.com/
livedoor    http://blog.livedoor.jp/push_gci/
ameba      https://ameblo.jp/papa-quebeck/
goo          http://blog.goo.ne.jp/push-gci
jugem       http://papa-quebeck.jugem.jp/
cocolog     http://papa-quebeck.cocolog-nifty.com/blog/
hatena      https://papaquebeck.hatenablog.com/

【追加更新】≪詐欺メールの発信元≫No18 拒否設定後の動向

【追加更新】≪詐欺メールの発信元≫No18　拒否設定後の動向