Received: from YuXf.com (44-248-182-166.mobile.uscc.com. [166.182.248.44])
From: "佐川急便株式会社"
Subject: 佐川急便 - 配送情報のご案内
佐川急便
再配達のご案内
佐川急便です。いつもご利用いただき誠にありがとうございます。
お荷物のお届けに伺いましたが、お客様が不在のため一時的に持ち戻りいたしました。
下記の手続きにて再配達の時間指定をお願いいたします。
お荷物情報
最初の配達日時: 2025年6月4日
再配達希望日時: お客様指定
再配達の時間指定をする (https://0123.oywltj.sbs/1234)
佐川急便株式会社
〒600-8458 京都市下京区東塩小路町681番地
このメールは配信専用です。返信いただいてもお答えできません。
メール通知の設定変更 (https://2345.oywltj.sbs/3456)
- フィッシングサイト: *.oywltj.sbs (www. 以外。www. にはダミーサイトが入っている)
- フィッシングサイト: mpvuuuxy.tokyo
- フィッシングサイト: fyuip.asia
*.oywltj.sbs から HTTP ステータスコード 301 でリダイレクトしている。
リダイレクト先は当初 mpvuuuxy.tokyo だったが、後に fyuip.asia に変更された。
昨日の東京ガスを詐称するものと同じシステムを使っているようで、一致点が見られる。
- お名前.com (GMO) で登録された .sbs、.tokyo ドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Envelope-From は4文字 .com ドメイン名
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
- 「0.30円」支払いのためと称してクレジットカード情報の入力を求める
メイル記載の URL はサブドメインとパスにランダム? な数字列がついている。12345678.oywltj.sbs/98765432 といった形式。長さもまちまち。
サブドメインとパスの数字列組み合わせで宛先追跡をしている可能性がある (ので引用文は 0123 などのダミーに差し替えている)。
//.oywltj.sbs/ からリダイレクトされるように設定しているようだ。