Received: from Xns.com ([38.141.229.31])
From: "TEPCOカスタマーセンター"
Subject: 【重要】ご契約情報の確認をお願いいたします(TEPCO)
【重要】ご契約情報の再確認のお願い
平素より東京電力をご利用いただき、誠にありがとうございます。
最近、弊社システムにてお客様のご契約情報に一部不整合が確認されました。
セキュリティ強化および継続的なサービス提供のため、下記リンクよりご契約内容の確認をお願いいたします。
ご契約情報を確認する (https://0123.47g1c08.sbs/1234)
※この確認は必須です。
※未対応の場合、サービスの一部に制限がかかる可能性がございますのでご注意ください。
※本メールは自動送信です。返信いただいても対応いたしかねます。
東京電力エナジーパートナー株式会社
カスタマーサポートセンター
https://www.tepco.co.jp
Tokyo Electric Power Company Holdings, Inc.
- フィッシングサイト: *.47g1c08.sbs
- フィッシングサイト: izwkx6z.sbs
- 送信元: Cogent Communications
- 送信元: Vyve Broadband
38.0.0.0/8 を Cogent が持っていて、その中の 38.141.224.0/21 を Vyve に再割当。
whois では通報先が Cogent のものしか見えない。
OrgAbuseEmail: abuse@cogentco.com
ここ数日の定番リスト:
- お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Envelope-From は3~5文字 .com ドメイン名
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
- クレジットカード情報の入力を求める