三菱電機、不正アクセスにより防衛省の「注意情報」が流出した可能性を発表
Your card temporarily suspended.という三井住友カードを騙るフィッシング詐欺メールを解析する
LINEにご登録のアカウント(名前、パスワード、その他個人情報)の確認というフィッシング詐欺メールを解析
公開日: 最終更新日:
LINEにご登録のアカウント(名前、パスワード、その他個人情報)の確認というスパムメールが届きましたので解析してみます。
文面は以下の通りで、異常なログインがあったので安全のために検証してくれという内容です。
タイトルには送信時間とみられる時刻が入っています。
時差は1時間のようですが、この範囲は台湾・中国・シンガポール・マレーシア・フィリピンなどです。
まず、メールヘッダーを見て送信元として表示されるFrom、そしてReturn-path、送信元サーバーのReceived:fromを見てみます。
|
1 2 3 4 5 |
From: LINE <loz@itz.net> Return-Path: <loz@itz.net> Received: from itz.net (114-24-64-208.dynamic-ip.hinet.net [114.24.64.208]) |
送信元メールアドレス、ドメインは
|
1 |
loz@itz.net |
となっており、LINEではありません。
dynamic-ip.hinet.netとなっており、台湾の中華電信股份有限公司(中華電信)のサーバーが送信元になっていますが、動的IPが割り振られています。
つまり、IPは次々に変わるということです。
同時に時差が1時間だったことも台湾のサーバーだったのであれば説明がつきます。
itz[.]netのwhoisを見てみましょう。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
Domain Name: itz.net Registry Domain ID: 39546787_DOMAIN_NET-VRSN Registrar WHOIS Server: whois.godaddy.com Registrar URL: http://www.godaddy.com Updated Date: 2019-12-13T12:46:16Z Creation Date: 2000-11-01T11:38:01Z Registrar Registration Expiration Date: 2020-11-01T10:38:01Z Registrar: GoDaddy.com, LLC Registrar IANA ID: 146 Registrar Abuse Contact Email: abuse@godaddy.com Registrar Abuse Contact Phone: +1.4806242505 Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited Registrant Organization: Registrant State/Province: California Registrant Country: US Registrant Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=itz.net Admin Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=itz.net Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=itz.net Name Server: NS33.DOMAINCONTROL.COM Name Server: NS34.DOMAINCONTROL.COM DNSSEC: unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ |
レジストラはgodaddyですが、こちらでwhoisを確認するように言われます。
すると、登録者としてカリフォルニア州ロサンゼルス、アルハムブラのChengliang Yinという中国人の名前が出てきました。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 |
Domain Name: itz.net Registry Domain ID: 39546787_DOMAIN_NET-VRSN Registrar WHOIS Server: whois.godaddy.com Registrar URL: http://www.godaddy.com Updated Date: 2019-12-13T12:46:16Z Creation Date: 2000-11-01T11:38:01Z Registrar Registration Expiration Date: 2020-11-01T10:38:01Z Registrar: GoDaddy.com, LLC Registrar IANA ID: 146 Registrar Abuse Contact Email: abuse@godaddy.com Registrar Abuse Contact Phone: +1.4806242505 Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited Registry Registrant ID: Not Available From Registry Registrant Name: Chengliang Yin Registrant Organization: Registrant Street: 816 S Stoneman Ave #F Registrant City: Alhambra Registrant State/Province: California Registrant Postal Code: 91801 Registrant Country: US Registrant Phone: +1.6263628966 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: talkgold@msn.com Registry Admin ID: Not Available From Registry Admin Name: Chengliang Yin Admin Organization: Admin Street: 816 S Stoneman Ave #F Admin City: Alhambra Admin State/Province: California Admin Postal Code: 91801 Admin Country: US Admin Phone: +1.6263628966 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: talkgold@msn.com Registry Tech ID: Not Available From Registry Tech Name: Chengliang Yin Tech Organization: Tech Street: 816 S Stoneman Ave #F Tech City: Alhambra Tech State/Province: California Tech Postal Code: 91801 Tech Country: US Tech Phone: +1.6263628966 Tech Phone Ext: Tech Fax: Tech Fax Ext: Tech Email: talkgold@msn.com Name Server: NS33.DOMAINCONTROL.COM Name Server: NS34.DOMAINCONTROL.COM DNSSEC: unsigned |
次に誘導先を見てみます。
ソースをチェックすると、実際のリンク先は
|
1 |
https://www.ieukhg[.]com/ |
であり、表記されているものとも異なります。
IPアドレスは156.236.75.170です。
安全を確保したうえでアクセスすると、
このようにLINEのログインや新規登録をコピーした画面になります。
スライドもちゃんと動作しています。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
<script type="text/javascript"> layui.use('carousel', function(){ var carousel = layui.carousel; //建造实例 carousel.render({ elem: '#linelb' ,width: '100%' ,height: '415px' ,arrow: 'none' ,indicator:'outside' }); //监听轮播切换事件 carousel.on('change(linelb)', function(obj){ console.log(obj.index); //当前条目的索引 console.log(obj.prevIndex); //上一个条目的索引 console.log(obj.item); //当前条目的元素对象 }); }); </script> </body> </html> |
ただ、ソースを見てみると中国語でコメントが入っているのが分かります。
ここでログインを選択すると、
|
1 |
https://www.ieukhg[.]com/user/ |
というURLに遷移し、
メールアドレスやパスワードを登録するよう促されます。
しかしよく見ると、パスワードを忘れた場合という文言が、パスニドを忘れた場合となっています。
このように、LINEとそっくり同じ画面に見えますがドメインも違いますし、偽サイトが存在しているということになります。
くれぐれも実際に自分のアカウント情報を入れることがないように注意してください。
※2020/03/18追記 LINEにご登録のアカウント(名前、パスワード、その他個人情報)の確認 というメールはその後も出回り続けています。
別パターンの解析は次ページへ
関連記事
カテゴリ:スパム,フィッシング
タグ:LINE,スパムメール,フィッシング詐欺
関連記事
人気記事
