Received: from pMHe.com (dhcp-207-49-224-94.gobrightspeed.net. [207.49.224.94])
From: "日本アマゾンに関するお知らせ"
Subject: 【重要】佐川急便 配達通知
佐川急便 配達日時確認のお知らせ
配達日時のご確認をお願いいたします
いつも佐川急便をご利用いただきありがとうございます。
お荷物の配達日時確認が必要です。
以下のボタンから配達日時の確認?変更が可能です。
配達日時を確認?変更する (https://0123.bzhzcuc.cyou/1234)
※本メールにお心当たりのない場合は、お手数ですが破棄してください。
SGホールディングス株式会社
From だけ Amazon、残りは佐川急便を詐称している。
これまでも手口が一致していたが、このミスで Amazon を詐称するものと佐川急便を詐称するものが同一犯によるものだと明らかになった。
- フィッシングサイト: *.bzhzcuc.cyou
- フィッシングサイト: bswwitp.cyou
- フィッシングサイト: drejvvz.cyou
*.bzhzcuc.cyou から HTTP ステータスコード 301 でリダイレクトしている。
- お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Envelope-From は3~5文字 .com ドメイン名
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
- クレジットカード情報の入力を求める
ここ数日の定番。