「オーストラリアの火災で被害を受けた野生動物と自然環境のために」というWWF Japanを騙るフィッシング詐欺メールを解析
長岡技術科学大学でメールアカウントへの不正アクセス、個人情報を含むメールが漏えいしスパムメールが配信
「被災地の子どもたちの教育に寄付で支援|認定NPO法人カタリバ」というフィッシング詐欺メールを解析
公開日:
「被災地の子どもたちの教育に寄付で支援|認定NPO法人カタリバ」というフィッシング詐欺メールが発生しています。
認定NPO法人カタリバも、公式サイトで警戒を呼び掛けています。
実際のメールを解析してみます。
■□■━━━━━━━━━━━━━━━━━━━━━━━━━━━
━━━━━━
□■ donation katariba 2/10/2020
本メールはドメインの運用(メール送受信やホームページの表示)に関わる
重要な通知となります。
■ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴‥∵‥∴‥∴‥∵‥∴
という書き出しで始まります。
WWF Japanを騙ったフィッシング詐欺メールとほぼ同一のフォーマットとなっています。
送信元のFromは、
|
1 |
From: "衆安商会" <pk@thefrontfenders.com> |
Return-Pathは、
|
1 |
Return-Path: <pk@thefrontfenders.com> |
となっています。
|
1 |
Received: from thefrontfenders.com (unknown [117.50.40.188]) |
となっており、ドメインはthefrontfenders[.]comで間違いなさそうです。
Whoisを見ると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
Domain Name: THEFRONTFENDERS.COM Registry Domain ID: 2270761459_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.discount-domain.com Registrar URL: http://gmo.jp Updated Date: 2019-09-30T11:14:32Z Creation Date: 2018-06-02T18:25:46Z Registry Expiry Date: 2020-06-02T18:25:46Z Registrar: GMO Internet, Inc. d/b/a Onamae.com Registrar IANA ID: 49 Registrar Abuse Contact Email: abuse@gmo.jp Registrar Abuse Contact Phone: +81.337709199 Domain Status: ok https://icann.org/epp#ok Name Server: NS1.C029JP9176.INFO Name Server: NS2.C029JP9176.INFO DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ |
となっており、レジストラは日本のお名前.comであることが分かりました。
IPアドレスからも調べてみます。
|
1 2 3 4 5 6 7 8 9 |
person: Jinhui Jia e-mail: jacky.jia@uclud.cn address: 510,SOHO B,Zhongguancun,Haidian, Beijing phone: +86-13811069300 country: CN → (中国) mnt-by: MAINT-CNNIC-AP nic-hdl: JJ2197-AP last-modified: 2017-06-20T10:16:01Z source: APNIC |
送信元サーバーは中国のようです。
誘導されるリンク先は
|
1 |
https://fdjerijdsf[.]com/search/index03.html#section03 |
となっており送信元ドメインとは異なります。
このドメインのWhois情報は
|
1 2 3 4 5 6 7 8 9 10 |
Domain Name: FDJERIJDSF.COM Registry Domain ID: 2437316128_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.godaddy.com Registrar URL: http://www.godaddy.com Updated Date: 2020-02-09T11:55:28Z Creation Date: 2019-09-26T01:20:06Z Registry Expiry Date: 2020-09-26T01:20:06Z Registrar: GoDaddy.com, LLC Registrar IANA ID: 146 Registrar Abuse Contact Email: abuse@godaddy.com |
となっており、IPアドレスは104.24.96.225でした。
このIPアドレスは、Cloudflareのもので、これ以上追えません。
|
1 2 3 4 5 6 7 8 9 10 |
OrgName: Cloudflare, Inc. OrgId: CLOUD14 Address: 101 Townsend Street City: San Francisco StateProv: CA PostalCode: 94107 Country: US → (アメリカ合衆国) RegDate: 2010-07-09 Updated: 2019-09-25 Ref: https://rdap.arin.net/registry/entity/CLOUD14 |
このメールが明確に詐欺だと分かるのは、そうした情報以外にフッターを見ることでもわかります。
==============================
====
katariba Japan (Roppongi)
東京都港区三田1-4-28 三田国際ビル3階 ,03-3769-1717※本メールは送信専用です。
お問い合わせは上のURLの、専用フォームよりお願いします。
==================================
「katariba Japan」に掲載されているすべての記事、
文章等の無断転載を禁止します。
著作権はWWFが所有している。
Copyright katariba Co., Ltd. 2020
==================================
E202010242
となっており、katariba Japanとなっているものの「著作権はWWFが所有している。」と記載されており、先の「オーストラリアの火災で被害を受けた野生動物と自然環境のために」というWWF Japanを騙るフィッシング詐欺メールと同一部分が見て取れます。
また末尾のE202010242という数字も同一であり、同一のグループとみられると同時にフィッシング用の詐欺ページに誘導するタイプの同様の詐欺であることが分かります。
くれぐれも、偽サイトで個人情報などを送信しないようにしてください。
関連記事
関連記事
人気記事
