Movable Type 4.0 以降の脆弱性、改ざん被害かどうかを確認する方法
【American Express】次回口座振替のお知らせというメールがフィッシング詐欺か解析する
【Uber】ご注文内容の確認 [メールコード UE985]というメールがフィッシング詐欺か調査する
公開日:
【Uber】ご注文内容の確認 [メールコード UE985]というメールがフィッシング詐欺か調査します。
メール本文は以下の通り。
この度はEウーバーイーツをご利用頂きまして誠にありがとうございます。
以下のご注文内容がご利用店舗まで届いております。
※本メールは、お客様のご注文情報を受けた時点で送信される自動配信メールです。
店舗から、ご注文内容の確認後、ご連絡いたします。
——————————————
合計金額:5,252円(税込)
支払金額:5,252円(税込)
▶注文確認
——————————————
■STEP1 注文受付
↑ただ今こちら
■STEP2 注文受付完了
■STEP3 受渡完了
<注文内容>
——————————————
[注文番号] 08
[注文日時] 2022/2/8 21:54:47
[注文店舗] 餃子の王将 大岡山店
[店舗住所] 東京都大田区北千束1-42-2
[注文者名] 広瀬 友美
[支払方法] クレジット
[受取日時] 2022/2/8
[受取方法] 店内受取
——————————————
[注文商品]
肉まん 3個 612円
お持ち帰りの箱代を別途いただいております。: 1商品につき箱代 +10円
油淋鶏 1個 597円
お持ち帰りの箱代を別途いただいております。: 1商品につき箱代 +10円
酢豚 1個 550円
お持ち帰りの箱代を別途いただいております。: 1商品につき箱代 +10円
回鍋肉 2個 1,056円
お持ち帰りの箱代を別途いただいております。: 1商品につき箱代 +10円
極王炒飯 1個 744円
お持ち帰りの箱代を別途いただいております。: 1商品につき箱代 +10円
ニラレバ炒め 1個 528円
お持ち帰りの箱代を別途いただいております。: 1商品につき箱代 +10円
キムチ炒飯(大盛) 1個 636円
お持ち帰りの箱代を別途いただいております。: 1商品につき箱代 +10円
醤油ラーメン 1個 529円
——————————————
合計金額:5,252円(税込)
支払金額:5,252円(税込)
▶注文確認
※ご注文された店舗の受取り時間を参照のうえご連絡ください。
※当メールは送信専用メールアドレスから配信されています。
© 2022 Uber Technologies Inc.
まずはメールの送信元を調べてみます。
|
1 2 |
From: Uber Eats <noreply@uber.com> Return-Path: <tbn@uber.com> |
送信者名はUber Eatsとなっており、送信元メールアドレス、Return-Pathともにuber.comのドメインになっています。
送信元のサーバーも調べてみます。
|
1 |
Received: from uber.com (unknown [116.85.51[.]28]) |
116.85.51[.]28というIPアドレスが出てきました。
調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 |
inetnum: 116.85.0.0 - 116.85.255.255 netname: XJKJ descr: Beijing Xiaoju Technology Co., Ltd descr: Beiqu 2, Floor 5, Building 1, No 9 Shangdi East Road descr: Haidian District, Beijing, China country: CN admin-c: ZM1669-AP tech-c: ZM1669-AP abuse-c: AC1601-AP status: ALLOCATED PORTABLE mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN last-modified: 2021-06-16T01:27:22Z source: APNIC irt: IRT-CNNIC-CN address: Beijing, China e-mail: removed email address abuse-mailbox: removed email address admin-c: IP50-AP tech-c: IP50-AP auth: # Filtered remarks: Please note that CNNIC is not an ISP and is not remarks: empowered to investigate complaints of network abuse. remarks: Please contact the tech-c or admin-c of the network. mnt-by: MAINT-CNNIC-AP last-modified: 2021-06-16T01:39:57Z source: APNIC |
中国北京にあるサーバーのようです。
文字コードもGB2312となっており、簡体字中国語の文字コードになっています。
次にメール本文中のリンクの誘導先を調べてみます。
base64でデコードしてソースを見てみると、
|
1 |
<a href="https://www.nv.ucboecr[.]com/"> |
となっており、遷移先がhttps://www.nv.ucboecr[.]comであることが分かります。
さて、このドメインのwhois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
Domain Name: ucboecr.com Registry Domain ID: 2673586204_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.webnic.cc Registrar URL: webnic.cc Updated Date: 2022-02-07T19:22:11Z Creation Date: 2022-02-07T19:21:01Z Expiration Date: 2023-02-07T19:21:01Z Registrar: WEBCC Registrar IANA ID: 460 Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number Domain Status: ok https://icann.org/epp#ok Registry Registrant ID: Not Available From Registry Registrant Name: Domain Admin Registrant Organization: Whoisprotection.cc Registrant Street: L4-E-2, Level 4, Enterprise 4, Technology Park Malaysia, Bukit Jalil Registrant City: Kuala Lumpur Registrant State/Province: Wilayah Persekutuan Registrant Postal Code: 57000 Registrant Country: Malaysia |
となっており、マレーシアで登録されたドメインのようです。
2月7日に登録されており、まだ新しいドメインであることが分かります。
さっそく、安全を確保したうえでアクセスしてみます。
すると、
このように偽のウーバーイーツのサイトが運用されていました。
電話番号を入れると、
このようにSMSで送信されたコードを入力するよう求められます。
さて、このサーバーのIPアドレスは192.227.228[.]11、米国ColoCrossingのホスティングサービスを利用していることが分かりました。
この偽サイトのソースを見てみると、たくさんの中国語が目につきます。
また文字コードも中国語です。
使われているフレームワークはThinkPHPでした。
これも中国で良く用いられているPHPフレームワークです。
【Uber】ご注文内容の確認 [メールコード UE985]というメールはフィッシング詐欺
【Uber】ご注文内容の確認 [メールコード UE985]というメールはフィッシング詐欺です。
このメールは送信者名こそUber Eats(ウーバーイーツ)ですが、中国のサーバーから配信されています。
またリンクの誘導先はマレーシアで取得されたドメインを用いて米国のサーバーで運用されている中国語の文字コードを持つUber Eats(ウーバーイーツ)の偽サイトです。
くれぐれも電話番号などを入力しないよう、ご注意ください。
関連記事
カテゴリ:フィッシング
タグ:Uber,Uber Eats,ウーバーイーツ,スパムメール,フィッシング詐欺
関連記事
人気記事
