ヤマト運輸を詐称するフィッシング詐欺の記録。
Received: from y720.com (65-102-182-243.tukw.qwest.net. [65.102.182.243])
From: "ヤマト運輸 お届け通知センター"
Subject: 【ヤマト運輸】お届け予定のお知らせ
ヤマト宅配便
配達日時のご指定について
平素はヤマト宅配便をご利用いただき、誠にありがとうございます。
お客様宛の荷物をお届けにあがりましたが、ご不在のため配達ができませんでした。
ご対応のお願い
お手数ですが、以下の手続きをお願いいたします:
1. 配送先情報のご確認
2. ご都合の良い配達日時の指定
お荷物は最寄りの配送センターで保管しております。
配達日時を指定する (https://0123.udsrc.asia/1234)
ご不明な点がございましたら、カスタマーサポートまでお問い合わせください。
ヤマト運輸株式会社
- フィッシングサイト:
*.udsrc.asia - フィッシングサイト:
kwmhd.asia - 送信元: CenturyLink Communications
*.udsrc.asia から HTTP ステータスコード 301 で kwmhd.asia にリダイレクトしている。
一昨日の佐川急便を詐称するものとほぼ同じシステムのようだ。
ドメイン名は GMO ではなく Alibaba での登録に変わっている。
最近の定番リスト:
- お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Envelope-From は4文字 .com ドメイン名
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
- 「0.30円」支払いのためと称してクレジットカード情報の入力を求める