Received: from KHHB.com (syn-072-230-195-048.res.spectrum.com. [72.230.195.48])
From: "日本アマゾンに関するお知らせ"
Subject: 【重要】佐川急便 配達通知
佐川急便 配達確認
いつも佐川急便をご利用いただきありがとうございます。
お荷物の配達確認が必要です。
以下のボタンからご確認ください。
配達日時を確認する (https://ofrwicu.cyou)
※本メールにお心当たりのない場合は破棄してください。
SGホールディングス株式会社
From だけ Amazon、残りは佐川急便を詐称している。
- フィッシングサイト: ofrwicu.cyou
- フィッシングサイト: npfnpvh.cyou
- 送信元: Charter Communications
いくつかの点で定番を外してきている。
- メイル記載 URL にランダムな数字列のサブドメイン・パスがなくなった
- メイル記載 URL は Cloudflare に収容されていない (Alibaba。DNS は Cloudflare)
- メイル記載 URL から HTTP ステータスコード 301 でリダイレクトされなくなった。CAPTCHA を通すと実際のフィッシングサイトに移動する構成になっている
詐欺師: わざわざ CAPTCHA 解いてまで実際のフィッシングサイトを突き止め、各所に通報するものがあるか
馬岱: \ここにいるぞ/
ここ数日の定番リスト:
- お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Envelope-From は3~5文字 .com ドメイン名
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
- クレジットカード情報の入力を求める
2通目。
Received: from uqta.com (syn-174-045-202-050.res.spectrum.com. [174.45.202.50])
From: "日本アマゾンに関するお知らせ"
Subject: 【重要】佐川急便 配達通知
佐川急便 配達確認
いつも佐川急便をご利用いただきありがとうございます。
お荷物の配達確認が必要です。
以下のボタンからご確認ください。
配達日時を確認する (https://0123.qlrlcqi.cyou/1234)
※本メールにお心当たりのない場合は破棄してください。
SGホールディングス株式会社
2通目は定番に戻った。
- フィッシングサイト: *.qlrlcqi.cyou
- フィッシングサイト: notvvyl.cyou
- 送信元: Charter Communications