[Icloud Notify]「あなたのアカウントは、2020年2月19日に別のデバイスからアクセスされました」というフィッシング詐欺メール
公開日:
[Icloud Notify]「あなたのアカウントは、2020年2月19日に別のデバイスからアクセスされました」というフィッシング詐欺メールがきたので解析してみます。
送信元のFromやReturn-Pathを確認してみます。
1 2 |
From: "Icloud サポート" <maileraprved-sec1idmsa.recentbuyappsv3hbj9t3t74@gigibapak.net> Return-Path: <maileraprved-sec1idmsa.recentbuyappsv3hbj9t3t74@gigibapak.net> |
Icloudサポートとなっていますが、正式にはAppleの場合iCloudです。
またメールアドレスも異なっています。
このgigibapak[.]netのwhois情報を確認してます。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
Domain Name: gigibapak.net Registry Domain ID: 2434119075_DOMAIN_NET-VRSN Registrar WHOIS Server: whois.google.com Registrar URL: https://domains.google.com Updated Date: 2020-01-02T09:21:24Z Creation Date: 2019-09-17T02:02:14Z Registrar Registration Expiration Date: 2020-09-17T02:02:14Z Registrar: Google LLC Registrar IANA ID: 895 Registrar Abuse Contact Email: registrar-abuse@google.com Registrar Abuse Contact Phone: +1.8772376466 Domain Status: ok https://www.icann.org/epp#ok Registry Registrant ID: Registrant Name: Contact Privacy Inc. Customer 1245473726 Registrant Organization: Contact Privacy Inc. Customer 1245473726 Registrant Street: 96 Mowat Ave Registrant City: Toronto Registrant State/Province: ON Registrant Postal Code: M4K 3K1 Registrant Country: CA Registrant Phone: +1.4165385487 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: s2pavco1blwv@contactprivacy.email |
Contact Privacy Incとなっており、登録者の身元は隠されています。
今すぐアカウントのロックを解除するというボタンの誘導先を見てみます。
1 |
http://138[.]68[.]6[.]44/IQlfC8G |
となっています。
ドメインは使用しておらず、直接IPアドレスが指定されています。
さて、接続元の条件によって、この行き先は、フィッシング詐欺サイトとGoogle.comのトップのどちらかに切り替えられる仕組みになっています。
フィッシング詐欺サイトは、
1 |
https://sign.idmsa.recent-purchase.com.webauth-idmsaappfunds[.]com/?page=signin&appIdKey=*******************************&locale=ja_JP |
見た目にはAppleのWebサイトですが、フィッシング詐欺サイトです。
この中のソースには、連絡してねといった具合のスラングを変数に用いている部分があります。
このドメインのwhois情報も、プライバシー保護サービスを用いており公開されていません。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
Domain Name: webauth-idmsaappfunds.com Registry Domain ID: 2492776276_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.google.com Registrar URL: https://domains.google.com Updated Date: 2020-02-14T21:47:35Z Creation Date: 2020-02-14T21:47:33Z Registrar Registration Expiration Date: 2021-02-14T21:47:33Z Registrar: Google LLC Registrar IANA ID: 895 Registrar Abuse Contact Email: registrar-abuse@google.com Registrar Abuse Contact Phone: +1.8772376466 Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited Registry Registrant ID: Registrant Name: Contact Privacy Inc. Customer 1246479942 Registrant Organization: Contact Privacy Inc. Customer 1246479942 Registrant Street: 96 Mowat Ave Registrant City: Toronto Registrant State/Province: ON Registrant Postal Code: M4K 3K1 Registrant Country: CA Registrant Phone: +1.4165385487 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: krv7wwjx5odr@contactprivacy.email |
よって、明らかなフィッシング詐欺であり、危険です。
関連記事
カテゴリ:スパム,フィッシング
タグ:iCloud,スパムメール,フィッシング詐欺