≪詐欺メールの発信元≫No20 | パパケベックの総合ブログ
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

パパケベックの総合ブログ

ブログ記事の内容は、広帯域受信機、ニュース論評、競馬予想と結果、2015年1月からターゲットにされた遠隔テクノロジー犯罪について、パソコン・インターネットの話題、科学技術のニュースなどを書いている。ほかのブログサイトにもブログ開設している。

≪詐欺メールの発信元≫No20

≪詐欺メールの発信元≫No20

12月12日現在、11月22日以降の詐欺メールを載せている。

◆詐欺メールのリンク先(詐欺サイト)にフラッド攻撃

フラッド攻撃で興味深い反応が出た。

頻繁にフラッド攻撃したら詐欺サイトのIPアドレスが変更されていたり、URLそのものが消滅していた。


《詐欺サイトURLのIPアドレス変更例》

https://www.njirplt.top/・・・・(最初)【199.231.211.48】【アメリカDash Networks】(後)【5.180.41.60】【ヨーロッパEnzu cloud】

https://nahuang.cn・・・・・(最初)【172.67.200.168 104.21.90.132】【アメリカCloudflare】(後)【47.91.170.222】【中国ALICLOUD-HK】
https://shedie.cn・・・・・(最初)【104.21.41.47 172.67.159.247】【アメリカCloudflare】(後)【47.91.170.222】【中国ALICLOUD-HK】
https://o8d5a.cn・・・・・(最初)【104.21.94.227 172.67.140.222】【アメリカCloudflare】(後)【47.91.170.222】【中国ALICLOUD-HK】


《詐欺サイトURLの消滅例》

https://www.aosumocoma.com/・・・(最初)【103.165.81.95】【7,9,11,22,80,443】【中国HKOTC-HK】(後)消滅

消滅した【103.165.81.95】のhttps://www.aosumocoma.com/だが、フラッド攻撃を続けていると数日後、10秒もたたずにフラッド攻撃の反応がなくなった。(ポートを閉じたというよりは、特定のIPアドレスからの接続要求を遮断したもの。)


《詐欺サイトのフラッド攻撃対策》ー《IPアドレス変更》+《接続ポート番号の制限》

詐欺サイト https://mnya.og.jp.kddikxj.cn/ の例

以下の詐欺メールリンク先は、当初のIPアドレスを1日で変更、さらに接続ポート番号による制限をかけてきた。

(当初)IPアドレス 【156.251.239.182】【Cloud Innovation Supportセイシェル】ポート閉鎖
(2個目)【156.251.144.133】【Cloud Innovation Supportセイシェル】

2こののIPアドレスにしてからのフラッド攻撃には、その日のうちに、ポート番号による制限をかけてきた。(発信ポート番号6万以上)

詐欺サイトの管理者は、こちらのフラッド攻撃をよく観察しながら対応策を考えたようである。

なお、【156.251.239.182】と【156.251.144.133】は、同じプロバイダーの同じクラウド内のもの。IPアドレスの管理は、アフリカ地域になっているが、アフリカ地域を管理するAFRINICには登録が存在しない。

◆詐欺サイトと詐欺メールの発信元を提供しているのはクラウド


詐欺メールを送信する奴らは、クラウドのメール送信機能を利用して詐欺メールを送信する。それについて国家レベル、犯罪捜査レベルのような対策は一つも存在しないからやりたい放題である。

クラウドを経営している企業は、詐欺メールを送信する奴らが利用するので儲けになり、クラウド用のIPアドレス資源も利用されることになるから利害関係が一致している。

そのようなクラウドは、マイクロソフトなど大手のプロバイダーを含めて例外はないと考えていい。


◆メールアドレスはアマゾンから情報漏えいしている


詐欺メールを送るやつが所有しているメールアドレス帳は、クラウドを併設しているショッピングサイトから仕入れたり、詐欺メールのリンク先の詐欺サイトから集めたものである。

そのほかに、メールアドレスを所有しているすべてのショップや官公庁、プロバイダー内から派遣社員や社員が「漏えい」したものも含まれている。

今のところ危険なショップは、アマゾンである。

アマゾンに一度も登録したことのないマイクロソフトのメールアドレスは、一つも詐欺メールが来ない。別のマイクロソフトのメールアドレスには詐欺メールがやってくる。



++++++++◆詐欺メールの記録◆++++++++++++
12月11日

詐欺サイト https://sushishop.commander1.com/【43.200.85.213【80,443】 15.165.54.239【80,443】】【中国アマゾン】
Received: from source:[150.60.200.222] helo:mta.fa1305.secure.jp【80,110,143,443,465,587】【KWC-NET】【150.60.0.0 - 150.60.255.255】
Received: from fa1305.secure.jp (localhost [127.0.0.1])by mta.fa1305.secure.jp
Received: (qmail 34538 invoked from network); 11 Dec 2023 16:41:55 +0900
Received: from unknown (HELO felan) (mori2602@tkgh.jp@20.100.178.16)【Microsoft】
From: "Violet.plala.or.jp| Ticket"
Subject: 非活性化のための要請
Date: Mon, 11 Dec 2023 07:41:55 +0000


12月9日


詐欺サイト https://jcb.jtwi.cn?login.php?corporate/contact/?link_id=cojp_footer_corporate【登録削除】
Received: from source:[194.87.31.181]【22】 helo:ulqajbk.cn【GIR_SER-NET】
From: JCB Webmaster <qa.jcb1@ulqajbk.cn>
Subject: カードご利用内容の確認のお願い
Date: Fri, 08 Dec 2023 16:41:55 +0100


詐欺サイト なし
Received: from source:[43.133.155.29] 【22,80】helo:mason-castro-health.kawmsbw.cn【インドテンセント】【43.133.128.0 - 43.133.159.255】
Subject: LINE連絡
Date: Fri, 8 Dec 2023 23:26:22 +0000
From: 【Line】 <sdasd-ability-@dafilnds492e29ov0hl3gqx.com.com>⇒なりすましアドレス


12月8日

※参考サイト https://ymg.nagoya/spam-mail-1838/

詐欺サイト https://mnya.og.jp.kddikxj.cn/(https://mnya.og.jp.yoduhjr.cnも同様)【156.251.239.182】【Cloud Innovation Supportセイシェル】【156.251.239.0 - 156.251.239.255】
2個目【156.251.144.133】ソースポート番号で遮断設定【22,80,443】【156.251.144.0 - 156.251.144.255】【Cloud Innovation Supportセイシェル】
Received: from source:[118.102.12.116] 【*】helo:mail14.daava.cn【Forewin Telecom】【118.102.12.0 - 118.102.12.255】
From: マイナポータル <info@myna.go.jp>
Subject: 電力・ガス・食料品等価格高騰緊急支援給付金(5万円/1世帯)のご案内
Date: Fri, 8 Dec 2023 20:23:44 +0900


12月6日

詐欺サイト https://www.aosumocoma.com/【103.165.81.95】【7,9,11,22,80,443】【HKOTC-HK】
Received: from source:[118.194.236.243] helo:mail.gaoqa.com【UCLOUD-JP】【118.194.236.0 - 118.194.237.255】
From: アメリカン・エキスプレス <AmericanExpress@gaoqa.com>
Subject: 【アメリカン・エキスプレスカード】 不正利用に関するお手続き受付のお知らせ
Date: Wed, 6 Dec 2023 05:43:36 +0900


12月5日

詐欺サイト https://www.aosumocoma.com/【103.165.81.95】【7,9,11,22,80,443】【HKOTC-HK】【103.165.80.0 - 103.165.81.255】
Received: from source:[152.32.204.72] helo:mail.u-dn.com.cn【*】【UCLOUD-JP】【152.32.201.0 - 152.32.204.255】
Date: Tue, 5 Dec 2023 17:50:22 +0900
From: アメリカン・エキスプレス <AmericanExpress@u-dn.com.cn>
Subject: 【アメリカン・エキスプレスカード】 不正利用に関するお手続き受付のお知らせ

詐欺サイトリンク先 https://sushishop.commander1.com/【43.200.85.213】【80,443】【15.165.54.239】【80,443】【アマゾンクラウド】
Received: from source:[157.205.202.133]【*】【(株)大塚商会 インターネットデータセンター】 helo:sgmmta45-fen.alpha-prm.jp【157.205.0.0 - 157.205.255.255】
Received: from sgmmta18-fen.alpha-prm.jp ([157.205.202.214])【*】
Received: from sgmtsf11_tsfppi.alpha-prm.jp ([157.205.230.84])【*】
Received: from ccmmta23.alpha-prm.jp (ccmmta23-fen.alpha-prm.jp [157.205.203.204])【*】
Received: from sgmiso06.alpha-prm.jp (sgmiso06-fen.alpha-prm.jp [157.205.230.102])【*】
Received: from sgmmsa53.alpha-prm.jp (unknown [157.205.201.12])by sgmiso06.alpha-prm.jp【*】
Received: from felan ([20.100.178.16]) 【3389】【Hostname: [Unknown]】【マイクロソフトクラウド】by sgmmsa53.alpha-prm.jp
From: "Violet.plala.or.jp" <y-kaura@ichiko.co.jp>【183.90.246.9】【XSERVER】【183.90.224.0 - 183.90.255.255】
Subject: Violet.plala.or.jp:サービスリ_エスト通知:Tuesday, December 5, 2023
Date: Tue, 5 Dec 2023 00:12:18 +0000

11月27日


詐欺サイト https://www.njirplt.top/【5.180.41.60】【5.180.40.0 - 5.180.41.255】YWJjZDAwMDU3P3BoMm0ta3VkQGFzYWhpLW5ldC5vci5qcA【199.231.211.48】【Hostname: [Unknown]】【22,80,443 】【Dash Networks】【199.231.208.0 - 199.231.215.255】
Received: from source:[23.95.95.2] helo:mail1.rkjgmubktn.com【RackNerd LLC】【23.95.95.0 - 23.95.95.31】【Hostname: mail1.rkjgmubktn.com】【22】
Date: Mon, 27 Nov 2023 17:06:29 +0900
From: 日本放送協会(NHKプラス) <nhk-update@rkjgmubktn.com>
Subject: 【NHKプラス】アップグレードサービスお知らせ

11月26日

詐欺サイト https://nahuang.cn【47.91.170.222】【*】【ALICLOUD-HK 47.91.128.0 - 47.91.255.255】【172.67.200.168 104.21.90.132】【Cloudflare】【172.64.0.0 - 172.71.255.255】【104.16.0.0 - 104.31.255.255】(表示https://www.orico.co.jp/service/orico_app/?
Received: from source:[194.87.31.73] helo:nw4x3t.cn【ロシアGIR NETWORK】【194.87.31.0 - 194.87.31.255】
From: e-orico
Subject: 【ORICO CARD】お取引のご確認
Date: Sat, 25 Nov 2023 16:01:22 +0100


◆行政が詐欺メールに取り組めるように情報提供する必要がある


以下のサイトを参考にして詐欺メール情報を送ったほうがいい。


『迷惑メール相談センター 情報提供のお願い』

http://www.dekyo.or.jp/soudan/contents/ihan/


★以前に比べてプララのメール拒否設定が効果あるのか、詐欺メール数が激減している。

「ぷららメール」の詐欺メール拒否設定例

=====================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、あちこちで対応するのが面倒になって、https://ameblo.jp/push-gci/のブログだけで対応することにした。メインブログ以外ではコメントは受け付けていない。2019年10月10日。

ameba      https://ameblo.jp/push-gci/
fc2          http://keyhole276p3mhz.blog75.fc2.com/
livedoor    http://blog.livedoor.jp/push_gci/
ameba      https://ameblo.jp/papa-quebeck/
goo          http://blog.goo.ne.jp/push-gci
jugem       http://papa-quebeck.jugem.jp/
cocolog     http://papa-quebeck.cocolog-nifty.com/blog/
hatena      https://papaquebeck.hatenablog.com/