≪詐欺メールの発信元≫No23
詐欺メールには、休止期間がある様子だ。
今年最初の休止期間は、今年1月26日から2月11日まで。
今回は、2月25日から休止期間に入った様子だ。
どういう事情なのか不明だが、休止期間があるようだ。
詐欺メールを送るやつらは、それを専門にしている人間とネット関係の仕事をしながら副業でやっている人間がいると思われる。
■詐欺メールの構造的な関係
詐欺メールを送るやつらは、金を使ってクラウドに居場所を占めて、さらに詐欺メールで誘導するリンク先となるサーバーを別のクラウドと契約して居場所を占めている。
詐欺メールを送り込む送信元は、クラウドがほとんどである。一部だが、マイクロソフトのwebメール(outlook.com)を使っている。
リンク先の詐欺サイトは、別のクラウドと契約してサイトを開設している。(詐欺メールの送信元のクラウドと異なるクラウドに詐欺サイトを開設している)
サイトを閉鎖したところもあったが、調べたらリンク先のサイトのURLは、別のクラウドに移設してサイトを開設せず登録だけしているものもあった。それは、詐欺サイトのリンク先のURLはIPアドレスが存在するが、ポートを開いていないから詐欺サイトを開設したものではない。
詐欺メールの送信元を提供しているのは、世界各国のクラウドである。中国だったり、在日の中華系のクラウド、アメリカの中華系のクラウドや他の大手のクラウドが多い。掲載しているものは、アメリカだけだが。
詐欺サイトの開設は、大手のクラウドを使っている場合もある。その一つがクラウドフレアのクラウドでDOS攻撃対策したクラウドで有名らしい。
■フラッド攻撃に対応する詐欺サイト
詐欺サイトの奴らには、貧弱な発展途上国に詐欺サイトを開設している奴もいる。その手のサーバーは、フラッド攻撃すると詐欺サイトのリンク先にアクセスしてもアクセス不能になりやすい貧弱なサーバーを使っている場合がある。
そんな場合、別のIPアドレスに詐欺サイトのURLが移動していることもあった。(同一のクラウド内)
そのため、詐欺メールを送るやつらが用意するクラウドには、性能が高いクラウドを金を払って用意しているようである。
特にクラウドフレアは、フラッド攻撃対策しているため、詐欺サイトのURLのIPアドレスは、大きく異なるIPアドレスを二つ持っている。
また、フラッド攻撃対策で詐欺メールを送るやつらの対策には、同じ詐欺メールを別々のURLで複数開設している場合もある。
以下に詐欺メールのリストを提示しておく。
====2月24日 これ以降休止期間====
詐欺サイト【172.67.211.163 104.21.37.184】【80,443 80,443】【Cloudflare 172.64.0.0 - 172.71.255.255 104.16.0.0 - 104.31.255.255】https://aeon.xeuywsb.cn?token=32b72e4c8765ad1eccc97b7a3322b4d8679c0639d10805cdb44b03768c64e5f4&e=bGFnbGkzNTBAdmlvbGV0LnBsYWxhLm9yLmpw
詐欺サイト【38.48.187.203】https://o8d5a.cn【PSINe 38.0.0.0 - 38.255.255.255】
Received: from source:[103.120.178.90]【22】 helo:ohidnjm.cn【DHINA TECHNOLOGIES 103.120.176.0 - 103.120.179.255】
From: イオンフィナンシャルサービス株式会社 <aeoncard1@ohidnjm.cn>
Subject: 1月ご請求額のお知らせ
Date: Sat, 24 Feb 2024 19:25:22 +0530
2月22日
詐欺サイト【142.171.31.186】【アクセス不能・閉鎖?】【22,80,443】【MULTACOM 142.171.0.0 - 142.171.255.255】https://westjr-odakeka.lzachfk.top
Received: from source:[23.94.230.164] helo:mail3.ajl319.com【22】【RackNerd 23.94.230.160 - 23.94.230.167】
Date: Thu, 22 Feb 2024 05:38:54 +0900
From: JR西日本 WESTER会員事務局 <wester@info.jr-odekake.net>
Subject: 【JR西日本:Club J-WEST】できるだけ早くアカウント認証を完了する
2月20日
詐欺サイト【142.171.31.185】【アクセス不能・閉鎖?】【22,80,443】【MULTACOM 142.171.0.0 - 142.171.255.255】https://www.nqqmikdthkjlvl.top/?Aiwu27zyS9b3=11508(表示https://pid.nhk.or.jp/account/regist/id/input1.do?receiptid=80682)
Received: from source:[107.175.226.207] helo:mail3.telegramcf.com【*】【HostPapa 107.172.0.0 - 107.175.255.255】
Date: Tue, 20 Feb 2024 23:52:56 +0900
From: NHKプラス <nhk-update@telegramcf.com>
Subject: 【NHKプラス】アップグレードサービスお知らせ
2月19日
詐欺サイトhttps://www.eki.co.jp-admin.eiejmkd.cn【204.44.93.20】【22,80,443】Hostname: 204.44.93.20.static.quadranet.com【QuadraNet 204.44.64.0 - 204.44.127.255】
Received: from source:[45.91.168.155] helo:jmgqvfl.cn【*】【CloudWebManage-MNT 45.91.168.0 - 45.91.168.255】
From: 新幹線・JR特急列車 <phujbf@jmgqvfl.cn>
Subject: 「えきねっと」アカウントの自動退会処理について
Date: Sun, 18 Feb 2024 19:53:19 +0200
詐欺サイト【192.227.161.34】【22,80,443】Hostname: 192-227-161-34-host.colocrossing.com【RackNerd 192.227.161.32 - 192.227.161.63】 https://www.cfqvbpxhvryxbc.top/YWJjZDAwMDU3P2VocXVkY2pmMTIzQG5hdmVyLmNvbQ(表示https://pid.nhk.or.jp/account/regist/id/input1.do?receiptid=690911)
Received: from source:[107.173.103.40] helo:mail2.telegramli.com【22】Hostname: mail2.telegramli.com【HostPapa 107.172.0.0 - 107.175.255.255】
Date: Mon, 19 Feb 2024 01:59:47 +0900
From: NHKプラス <nhk-update@telegramli.com>
Subject: 【NHKプラス】アップグレードサービスお知らせ
2月16日
詐欺サイト 【34.255.248.218】【80,443】【AMAZON】
https://tap-rt-prod1-t.campaign.adobe.com/r/id=h9ecb88b,c1e96b3,69fe0fb&p1=neuroandortho.com/【192.185.129.41】【22,53,80,110,143,443【閉鎖】,465close,587,3306】【WEBSITEWELCOME.COM 192.185.0.0 - 192.185.255.255】
Received: from source:[157.120.115.42] 【***】helo:svpm04.wadax-sv.jp【インターQ 157.120.112.0 - 157.120.119.255】
Received: from sv108.wadax-sv.jp (sv108.wadax-sv.jp [153.123.7.73])
Received: from ulecesiu-47449 (user21-59.rcn.ne.jp [58.87.21.59])
Authentication-Results: sv108.wadax-sv.jp;spf=pass (sender IP is 58.87.21.59) 【80,111,135,443,445,2000,3389,5800,5900】【NTT BUSINESS SOLUTIONS 58.87.16.0 - 58.87.31.255】smtp.mailfrom=greencarestation@kuni-corp.jp 【153.123.7.73】【53,80,110,143,443,465,587】【WADAX-204 153.123.7.0 - 153.123.7.255】smtp.helo=ulecesiu-47449
From: "Violet.plala.or.jp Ticket" <greencarestation@kuni-corp.jp>
Subject: Violet.plala.or.jp:サービスリ_エスト通知:Friday, February 16, 2024
Date: Fri, 16 Feb 2024 02:22:59 +0100
2月14日
詐欺サイト 【207.55.251.76】【80,110,443】【Hostname: s76.s241.n55.n207.deluxehosting.com】【Jumpline Inc 207.55.240.0 - 207.55.255.255】https://herndonhouse.com/awyBGOdoSslVJeOguuSCnWXjAaWxsxNDkxZIaQihWdmTgxkTMZ(メール表示 https://web1.plala.or.jp/cgi-bin/mail/plus/webmail_login.cgi)
Received: from source:[40.107.93.97] helo:NAM10-DM6-obe.outbound.protection.outlook.com【Microsoft Corporation 40.74.0.0 - 40.125.127.255】
receiver=protection.outlook.com; client-ip=5.230.67.81; helo=[127.0.0.1]【GHOSTnet Network used for VPS Hosting Services 5.230.67.0 - 5.230.67.255】
From: "violet.plala.or.jp | info@plala.ne.jp" <noreply@pinetopdistillery.com>
Subject: Plala [メールアドレス] サーバー通知 (アクションが必要) メールを開いて手順を参照してください
Date: Wed, 14 Feb 2024 13:14:44 +0000
2月12日
詐欺サイト https://www.fdfsfasdlsd.top/YWJjZDAwMDU3P3plbm5paG9uQGVvcy5vY24ubmUuanA【192.210.219.139】【RackNerd LLC 192.210.219.128 - 192.210.219.159】(表示https://pid.nhk.or.jp/account/regist/id/input1.do?receiptid=44946)
Received: from source:[192.227.248.75] helo:mail3.donwrote.com【HostPapa 192.227.128.0 - 192.227.255.255】
Date: Mon, 12 Feb 2024 12:54:45 +0900
From: NHKプラス <nhk-update@donwrote.com>
Subject: 【NHKプラス】アップグレードサービスお知らせ
=====================
パケベックのハンドルネームで以下のブログをやっている。
コメントは、あちこちで対応するのが面倒になって、https://ameblo.jp/push-gci/のブログだけで対応することにした。メインブログ以外ではコメントは受け付けていない。2019年10月10日。
ameba https://ameblo.jp/push-gci/
fc2 http://keyhole276p3mhz.blog75.fc2.com/
livedoor http://blog.livedoor.jp/push_gci/
ameba https://ameblo.jp/papa-quebeck/
goo http://blog.goo.ne.jp/push-gci
jugem http://papa-quebeck.jugem.jp/
cocolog http://papa-quebeck.cocolog-nifty.com/blog/
hatena https://papaquebeck.hatenablog.com/