Received: from mail.ldui.com (230.sub-72-109-133.myvzw.com. [72.109.133.230])
From: "東京ガス お支払い確認"
Subject: 【ご案内】ご利用料金明細の確認について
ご利用料金のお支払いについて
いつもご利用いただきありがとうございます。
ご利用料金のお支払いをお願いいたします。
請求金額 8,800円(税込)
支払期限 2025年7月11日(金)
対象期間 2025年6月1日~6月30日
お支払い画面へ進む (https://*.y76ilxm.sbs/*)
※ 支払い期限を過ぎるとサービスが停止される場合があります
※ すでにお支払い済みの場合は不要です
※ 不明点はお問い合わせください
〒100-0005 東京都千代田区丸の内1-1-1
株式会社サービスプロバイダー
株式会社サービスプロバイダー。
- フィッシングサイト: *.y76ilxm.sbs
- フィッシングサイト: 46z3oz0.sbs
- 送信元: Verizon
最近の定番リスト:
- お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- Envelope-From は3~5文字 .com ドメイン名 (詐称)
- クレジットカード情報の入力を求める
最近の定番リストから以下を外す:
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
7月4日以降、以下の点について定番リストからの逸脱が継続している:
- メイル記載 URL のサブドメインは数字列ではなく、32文字の[0-9a-f]。パスはサブドメインと同一
- タイムゾーンが +0900
これはもはや新たな定番と考えるべきだろう。