迷惑メール分析【傾向と対策】~三井住友、イオンカードが躍進-2023年7月

ポク太郎です。

チンパンジー研究家です。研究テーマは低知能思考回路。最近の注目はチュンパンジン、漢字表記すると中国人

本投稿は直近の迷惑メール犯人送信元サーバとIP範囲よくある表題偽装される企業などの分析結果。2023年7月の1か月分です。


Amazon→三井住友→イオンカード順に多かった2023年7月分

迷惑メールの本数
被害企業
1 Amazon 325
2 スーパーコピー代引 286
3 三井住友銀行 143
4 イオンカード 65
5 東日本高速道路ETC 13

下の迷惑メールコレクションにある通り、当然他の企業もたくさん。でも、どのアドレスに送ったらネタにされるかを中国人にバラす訳に行かないので6位以下は秘密。

中国人のアホ迷惑メールが唯一の楽しみなので、届かなくなると打ちひしがれちゃう。

サルが考えた偽装URL(追記)

どーでもいい情報ですが、チュンパンジンが考えた偽装先偽モンURLや策など。

中国人が考えた偽装URL例
Amazon うにゃ9pefffleうにゃ.icu
Amazon 1111.tomatofz.cn
Amazon amzone.co.jp.a15-42.com
Amazon name.whzhuimeng.com
Amazon list.kspensha.com
Amazon mail-jp.prepaidcheckup.com
Amazon うにゃf785d99うにゃ.clipartshow.(文字化け)
Amazon うにゃ72a04b0うにゃ.stmyys.(文字化け)
Amazon うにゃ5e69810うにゃ.3renwx.cn
Amazon うにゃ20705f3うにゃ.qtigzhk.cn
Amazon うにゃbd8d8f8うにゃ.sebiznu.cn
Amazon うにゃ157dc9eうにゃ.top0912.cn
Amazon うにゃfe7fbefうにゃ.whtykj.cn
Amazon うにゃ754c9f1うにゃ.nqwfvo.cfd
Amazon うにゃ1da2ca4うにゃ.sc4d41.cfd
Amazon うにゃ15ebbbbうにゃ.allforheart.com
Amazon うにゃb7da34aうにゃ.billsbeat.com
Amazon うにゃd6c746bうにゃ.cashelwealth.com
Amazon うにゃ51a54e7うにゃ.chairthelove.com
Amazon うにゃ5cb11daうにゃ.dchouhome.com
Amazon うにゃ3596b74うにゃ.healthisback.com
Amazon うにゃd62d87dうにゃ.heartcranch.com
Amazon うにゃffffa6cうにゃ.hnswellbeing.com
Amazon うにゃ1d99914うにゃ.housingsocietymanagement.com
Amazon うにゃdcdd679うにゃ.kobeheart.com
Amazon うにゃ8d206f4うにゃ.rockindoctor.com
Amazon うにゃbdfe0bdうにゃ.shootforwind.com
Amazon うにゃ97866e5うにゃ.spinolaphoto.com
Amazon うにゃac3447dうにゃ.winpowerwest.com
Amazon www.amazon.co.jp/gp/r.html?C=うにゃ&M=urn:rtn:msg:20230nnnnttttttttうにゃ&R=うにゃ&U=www.amazon.co.jp/gp/css/your-orders-access/ref=うにゃ&H=うにゃ&ref_=うにゃ

本物AmazonのURLにURLパラメータやサフィックスを付加したもの
⇒つまり、「“リンク先が本物だから本物”などと判断してはいけない」根拠
三井住友 accout-update-smba.jp.perplexityai.art
三井住友 tolcjae668azsdv25gsef.icu
三井住友 775nefuovnero.cfd
三井住友 member-co-jp.boxurk.com
三井住友 ads.fafangbt-4.com
三井住友 card.fafangbt-4.com
三井住友 direct.smbe.co.jp.goatstrain.com
三井住友 smbc.hzjsny.com
三井住友 member.smbo.co.jp.ihustledawls.com
三井住友 member-co.jp.jwvhs.com
三井住友 informe.omrzg.com
三井住友 tokey.loomtech-ind.com
三井住友 start.minervataylorbooks.com
三井住友 member.smbo.co.jp.qdwenhai.com
三井住友 member.smbo.co.jp.warehouseindy.com
三井住友 account-chanage.jp.dogongocam.com
三井住友 people.zxsctevxo.com
三井住友 members.zycbaikel.com
三井住友 www.account-update.shop
三井住友 hcmmgabriaeld10s.top
イオンカード aeonpayadmin-jp.4eうにゃiu.cyou
イオンカード aeon-pay-jp.co
イオンカード aeon-jp.duoming.co
ETC www.etc.information.firstclasseditors.com
ETC www.etc.userlogin745.jingleedu.com
ETC www.etc.userlogin.stamfordcemetery.com

うにゃ”と隠してるのは何らかの暗号に使えそうな部分だから。そーやって警戒してても単なる乱数だったという経験があるので、サルを買いかぶり過ぎてる気もするが。

日本人になりすましネット上で世論誘導を行う五毛党。相手の書き込みの意味が分からなくて日本語が欠陥言語だと掲示板で愚痴りながら日本人に成りすますのが中国人

五毛党による欠陥言語指摘は、“主語”“述語”などでなく明らかに中国人が日本語勉強に使う呼び名なので。

サルの手口1~見間違い誘発方式

サルなりに色々考え細工してきます。

1つ目は見間違い狙い。例えばamazon.co.jpmerukari.co.jpを、

arnazon.co.jp
rnerukari.co.jp

.ijl(←小文字のL)などを駆使して偽装してきます。サルなので。

サルの手口2~サブドメイン方式

2つ目はサブドメイン方式。例えばamazon.co.jpsmbc.co.jpを、

amazon.co.jp.ghktk4.com
smbc.co.jp.askjhe9.icu

https://に続き、次の/(スラッシュ)までの文字列をドメインと呼びますが、その前方にカテゴリ分けのために.で区切ったのがサブドメイン

真っ当な使い方例はyahoo.co.jp。以下のように目的別のサブドメインを準備しています。

about.yahoo.co.jp
mail.yahoo.co.jp
webhosting.yahoo.co.jp

サブドメインは管理者が好きに作れるので、それを悪用しamazonsmbcなる文言でそれっぽく見せる方法をサルが考え出しました。

サルの手口3~そもそもリンク準備しない方式

3つ目は今回見つけた方式。偽装リンクを準備しない方式。

「こちらから情報を更新して下さい。」部分にリンクを貼らず、別の場所に「クリック出来ない・ページが上手く表示されない場合はこちら。」とあり、それが詐欺ページへ飛ぶリンク。

簡単に分類分けすると上記3パターンですが、いづれも最初に書いた以下の方法で対処可能です。

本物・詐欺の見分け方は、

Amazon~迷惑メール第1位

Amazon迷惑メールの代表的表題

Amazonを騙る迷惑メールの代表的な表題
メールの表題(抜粋)
【緊急の連絡】Amazon.co.jpから情報を更新してください
【重要なお知らせ】締め切りまでに情報の確認をお願いします
【Amazon】お客様のアカウント情報のご確認が行われなかった場合は、アカウントが停止される可能性がごさいます
お客様のアカウント情報の更新が必要です
お客様情報の更新
【情報】 Amazonお客様のお支払い方法が承認されません
【大切なお知らせ】お客様のお支払い方法が承認されません #●-●●
アカウントの支払い方法を確認できず、注文を出荷できません
Amazon.co.jpのお支払い方法をご確認ください
Amazon株式会社から緊急のご連絡メール
【重要警告】アマゾンアカウントでの異常操作が発生しました。
【重要なお知らせ】Amazonプライムの自動更新設定を解除いたしました
Amazonプライム会費のお支払い方法に問題があります
Amazonプライム会員資格のキャンセルについて
【重要】Amazon.co.jpでのご注文 ●-●●-●●
Amazon.co.jpでのご注文●-●●-●●の商品 1 点が発送されました

いくら情報の更新しろと言っても聞かないので、「支払い方法拒絶された」・「異常操作発見」・「資格剥奪した」・「別人に注文された」と次々嘘を付いてきます。詐欺教室か何かの教科書があり、その題目を理解できないチュンパンジンがそのまま写したのではないかと感じるのも。

【重要】不正ログインがあったことを理由に、アカウント情報の再設定を促す

Amazon迷惑メール送信元サーバーとIP範囲

Amazon迷惑メール送信元サーバーIP範囲
送信元サーバー IP範囲
1 アメリカ Beijing Baidu Netcom Science and Technology Co., Ltd. United States California Los Angeles cnnic.cn
Beijing北京Baidu百度
154.85.44.0/22
154.85.48.0/22
154.85.52.0/22
154.85.56.0/22
154.85.61.0/24
2 香港 Beijing Baidu Netcom Science and Technology Co., Ltd. Hong Kong cnnic.cn
Beijing北京Baidu百度
156.240.112.0/22
156.240.116.0/22
156.240.120.0/22
3 中国 Beijing Baidu Netcom Science and Technology Co., Ltd. China baidu.com
Beijing北京Baidu百度
106.12.0.0/16
182.61.0.0/18
4 中国 CHINANET Guangdong province network China cnnic.cn 106.75.176.0/20
5 アメリカ AS-COLOCROSSING United States California San Jose colocrossing.com 192.3.80.0/21
198.12.64.0/22
23.94.80.0/21
6 アメリカ STARCLOUD GLOBAL PTE., LTD. United States wscloudx.com 206.119.0.0/16
7 インドネシア PT Cloud Hosting Indonesia Indonesia idcloudhost.com 103.193.176.0/22
8 インドネシア PT JARINGANKU SARANA NUSANTARA Indonesia jsn.net.id 103.13.204.0/22
9 インドネシア Universitas Esa Unggul Indonesia esaunggul.ac.id 103.59.92.0/22
10 インドネシア Login.Me Pvt Ltd Indonesia lmpl.net 103.189.232.0/22
11 アメリカ subielfq24.example.com EdgeCenter LLC United States California Santa Clara Bolshoi Boulevard 42, str. 1, pom. 137, et. 0, rab. m. 33 121205 Moscow RUSSIAN FEDERATION gcore.ru
.ruロシアのドメイン
92.38.128.0/18

アメリカ・インドネシアなどの国名が並びますが、Beijingとは北京Baiduとは検索エンジン百度のことでございます。“チャイナタウン”なる言葉の通りゴキブリ並に侵入してますので。

百度そのものが送信してるて言うより、恐らくクラウド―サーバーとして個人に貸し出してるものかと。Microsoftなんかもやってる商売。不正アクセス多いんだが。

表11番のアメリカですが、これはアメリカ国内のロシアンサーバー。上で「教科書の題目を理解できないチュンパンジン」の表題例を書きましたがそれの送信元でした。

IP範囲の表記154.85.44.0/22なる形式はCIDR表記と呼び、154.85.44.0 ~ 154.85.47.255のこと。こちらでIP範囲を演算するプログラムを公開しております。

スーパーコピー代引~迷惑メール第2位

スーパーコピー代引は企業でも何でもなく、チュンパンジンが作った単なる詐欺サイト。下が代表的なURLですがいづれもGoogleBingDuckduckgoの検索エンジンで“存在しない”扱い。

スーパーコピー代引の代表的なURL
www.codsss.com
codyyy.com
codhalsiery.shop
hfliery.shop
anooad.shop
codsss.com
yoinst.com
www.copxyz.com
www.ikocopy.com
www.itocopy.com
www.momocopy.com
www.nonocopy.com
ブラウザURL欄に直接入力するとつながりますが、絶対にアクセスしてはいけません。詐欺取引でなく、個人情報得るためのウィルス感染が目的なので。

スーパーコピー代引メールの代表的表題

スーパーコピー代引を騙る迷惑メールの代表的な表題
メールの表題(抜粋)
To.●● 代金引換 2023新作 ブランドスーパーコピー NNN級品 実物写真
To.●● スーパーコピー 市場最低価格時計、バッグ、財布、靴、服、ベルト、メンズベルト
No.●● 代引き 2023新作 ブランドスーパーコピー NNN級品 実物写真新製品
代引き ブランド スーパーコピー NNN 級品 実物写真●●
代金引換 ブランド スーパーコピー NN N級品 実物写真●●
日本最大の「 代金引換専門店」

この“N級”て何だね?と思って調べると「本物と見分けがつかないレベルのコピー品」とのこと。それなりに原価が掛かってるので多少高いらしい。偽物のN

それならチャイナのCN級て名前の方がいいじゃん?と思われるがそれだと単なる劣化コピー。チンパンジー製造となってしまい高付加価値とならないので。

当然狙われるのは時計ロレックス、財布ルイ・ヴィトン、バッググッチプラダシャネル、靴、ベルト、マフラー。

スーパーコピー代引送信元サーバーとIP範囲

スーパーコピー代引迷惑メール送信元サーバーIP範囲
送信元サーバー IP範囲
1 中国 Chinanet China ns.chinanet.cn.net 27.16.0.0/12
36.16.0.0/12
49.64.0.0/11
58.208.0.0/12
60.168.0.0/13
106.110.0.0/15
111.170.0.0/16
140.224.0.0/16
180.121.140.0/22
218.93.0.0/16
220.160.0.0/11
221.224.0.0/13
2 中国 Chinanet China Anhui Hefei ns.chinanet.cn.net
Anhui安徽省Hefei合肥市
36.4.0.0/14
36.62.0.0/15
223.240.0.0/13
3 中国 Chinanet China Jiangsu Yangzhou ns.chinanet.cn.net
Jiangsu江蘇省Yangzhou揚州市
117.80.0.0/12
4 中国 Chinanet China Guangdong Guangzhou ns.chinanet.cn.net
Guangdong広東省Guangzhou広州市
121.224.0.0/12
5 中国 Chinanet China Zhejiang Hangzhou ns.chinanet.cn.net
Zhejiang浙江省Hangzhou杭州市
115.224.0.0/12
6 中国 Chinanet China Zhejiang Jinhua ns.chinanet.cn.net
Zhejiang浙江省Jinhua金華市
125.112.0.0/12
7 中国 Chinanet China Zhejiang Ningbo ns.chinanet.cn.net
Zhejiang浙江省Ningbo寧波市
123.96.0.0/15
8 中国 Chinanet China Guangdong Shenzhen ns.chinanet.cn.net
Guangdong広東省Shenzhen深圳市
121.224.0.0/12
9 中国 Chinanet China Shanghai Shanghai ns.chinanet.cn.net
Shanghai上海市
49.64.0.0/11
10 中国 CHINA UNICOM China169 Backbone China chinaunicom.cn 42.56.0.0/14
175.152.0.0/14
11 中国 CHINA UNICOM China169 Backbone China Guangdong Guangzhou chinaunicom.cn
Guangdong広東省Guangzhou広州市
42.84.0.0/14

100%中国国内から送信。仕掛けたチュンパンジンも自分で忘れてて勝手に自動送信されてるのではないかと思われるほど廃れています。

以前多かった偽BSカードなどの違法視聴系もほとんど来てないし、メールのリターンパスも無茶苦茶なのばっかだし。

スーパーコピー代引の無茶苦茶な発信元
aoaikigmfh@mdiocjhqqb.asia
kshsxai@qvfwa.asia
●@qfobrxx.asia
bcaw@soc.cc
fyfqz@kujemdjvrv.cc
sq@kibmt.cc
●@iucgj.cc
ceqo@urllcqzrorg.cn
qwqkdtsq@elkkzyai.net.cn
rfiignwv@xrztuhorg.cn
sbq@uce.net.cn
yeuzv@xrafsmopb.cn
●@dwawvkqcom.cn
●@ishj.cn
●@jzgdjqzcom.cn
●@staorg.cn
●@wgkjcom.cn
●@xpyrucom.cn
caurtevq@fdsumfbj.co
fkhsmm@mwi.co
jlquazeg@ygfn.co
zulzojcnet@zd.co
●@skg.com
●@spinlg.com
omxijmvf@nos.hk
bbpt@ssske.info
joqfnam@gqemxs.info
qsrivch@ybo.info
●@rtjzisa.info
●@zfbf.info
dwicllwx@blewxssc.me
gttnq@asjfbq.me
svudjmsv@pejjcyidl.me
●@sobhnw.me
njl@nns.us
vtququqik@wxxv.us
●@jscvhd.us
●@oawdmc.us
jgivbsvexp@icqwselr.net
om@uvweht.net
ppasxub@ovods.net
●@ebmblekvq.net

三井住友銀行~迷惑メール第3位

三井住友銀行迷惑メールの代表的表題

三井住友銀行を騙る迷惑メールの代表的な表題
メールの表題(抜粋)
【ご注意】三井住友カードお客様情報の確認
【最終確認】三井住友カードサービスの緊急連絡、情報を確認してください
【SMBC】お取引が決済できませんでした
<重要>【三井住友カード】お取引が決済できませんでした
【三井住友カード】お取引が決済できませんでした
【自動メール配信】三井住友信託银行利用制限のお知らせ
【締切のご案内】お支払い日のご案内
【重要】三井住友銀行から緊急のご連絡
【重要】三井住友銀行アカウントの異常通知
【重要・緊急】入金制限のお知らせ

こちらも情報の確認から「決済できませんでした」・「利用制限」・「入金制限」・「別人による異常操作」と次々嘘。詐欺師業を舐めてんのが以下。

【セゾンカード 】重要なお知らせ

三井住友銀行迷惑メール送信元サーバーとIP範囲

三井住友銀行迷惑メール送信元サーバーIP範囲
送信元サーバー IP範囲
1 アメリカ AS-COLOCROSSING United States colocrossing.com 23.94.136.0/22
23.94.160.0/19
23.94.192.0/20
23.95.41.0/24
23.95.128.0/17
107.173.0.0/16
192.210.136.0/22
2 アメリカ chimeraother.com AS-COLOCROSSING United States colocrossing.com 23.95.214.0/24
3 アメリカ FD-298-8796 United States fastnetdata.com
fastnetdata.com=調べると説明は→「更快更安全稳定的CDN服务. 云加速; 高防CDN; 海外CDN;」
38.60.92.0/22
4 アメリカ ASN-QUADRANET-GLOBAL United States quadranet.com
quadranet.com=専用サーバー会社
47.87.136.0/22
5 アメリカ DYNU United States Georgia Atlanta dynu.com
dynu.com=無料DDNS
207.174.0.0/17
6 香港 Forewin Telecom Group Limited, ISP at Hong Kong apnic.net 115.126.70.0/24
7 日本 Tencent Building, Kejizhongyi Avenue Japan Tokyo Tokyo tencent.com
tencent.com=1998年中国深センで設立した多国籍企業
43.128.0.0/10

イオンカード~迷惑メール第4位

イオンカード迷惑メールの代表的表題

イオンカードを騙る迷惑メールの代表的な表題
メールの表題(抜粋)
【重要警報】イオンカードアカウントのセキュリティ異常をご報告します。
【安全対策のお知らせ】イオンカードの安全対策についてのご案内を申し上げます。
【安全対策のお知らせ】イオンカードアカウントにおける異常操作の発生について。
【安全上のお知らせ】イオンカードアカウントの不正取引が確認されました。
【安全上のお知らせ】イオンカードにおいて異常を発見いたしました。
【重要】Aeon payアカウントのパスワードが変更されました
【重要】Aeon Payアカウントのセキュリティリスクに関するお知らせ。
Aeon payアカウントの利用制限に関するお知らせ」

イオンカード迷惑メール送信元サーバーとIP範囲

イオンカード迷惑メール送信元サーバーIP範囲
送信元サーバー IP範囲
1 アメリカ MULTA-ASN1 United States Delaware Newark multacom.com
MULTA-ASN1 United States California Los Angeles multacom.com
multacom.com=専用サーバー会社
173.82.0.0/16
2 アメリカ NODESTOP-LLC United States Virginia Ashburn nodestop.io
NODESTOP-LLC United States New Jersey Parsippany nodestop.io
nodestop.io個人がボットを走らせるためによく使うらしい
23.95.214.0/24
3 アメリカ LAYER-HOST United States globalfrag.com
globalfrag.com=専用サーバー会社
104.148.64.0/18
4 アメリカ LIMESTONENETWORKS United States www.limestonenetworks.com
limestonenetworks.com=専用サーバー会社
208.115.192.0/18

ETC~迷惑メール第5位

ETC迷惑メールの代表的表題

ETCを騙る迷惑メールの代表的な表題
メールの表題(抜粋)
【大切なお知らせ】解約予告のお知らせ(ETC利用照会サービス)
【重要】解約予告のお知らせ(ETC利用照会サービス)

ETC迷惑メール送信元サーバーとIP範囲

ETC迷惑メール送信元サーバーIP範囲
送信元サーバー IP範囲
1 アメリカ AS-COLOCROSSING United States colocrossing.com 172.245.56.0/21
192.227.192.0/22
2 アメリカ AS-COLOCROSSING United States Washington Seattle colocrossing.com 172.245.224.0/20

すべきことはcolocrossing.comブロック

ここはホームページやサイト運営者に向けた話。

上記を整理して言えることは、発信元がアメリカでも結局中国人。中でも特に多いのがcolocrossing.comを使ったもの。

コロクロッシングとは、専用サーバを大量に並べて通信する運営方法のこと。

真っ当な目的でボット回すのは何ら問題ないが、中国人詐欺師にインフラ提供するなら反社会的組織。

やはりサイト運営者は中国・香港は当然としてcolocrossing.comも全ブロックし、日本国内へのアクセスを遮断すべき。1国丸々接続できないなら閉鎖に追い込めるはず。

当然、そんな専用サーバーから閲覧者がやってくる訳無く、ほぼ全部スパムボットだし。

迷惑メールを全部精査するなどという月に一度の重労働。大変ですが、ゴキブリがネット界をどう動いてるのかが見えるので勉強になります。

今月以降も継続していけるでしょうか。乞うご期待。

コメント

タイトルとURLをコピーしました