ポク太郎です。
今月も重労働のサル研究。
本投稿は直近の迷惑メールの犯人、送信元サーバとIP範囲、よくある表題、偽装される企業などの分析結果。2023年11月の1か月分です。
先月、身バレしたのか半減しましたが、今月はほんの少し戻しました。
Amazon詐欺メールが4位に凋落!?~2023年11月分
| 被害企業 | 数 | (先月) | |
| 1 | スーパーコピー代引 | 266 | 238 |
| 2 | 三井住友銀行 | 133 | 34 |
| 3 | ETC | 48 | 31 |
| 4 | Amazon | 29 | 105 |
| 5 | えきねっと | 19 | 29 |
全体数は少し戻して、半減した先月比+100通の523。
注目点はAmazonが4位に凋落!?という衝撃的な結果。“詐欺メール!?”と真っ先に疑う習慣が一般に定着してきたってことでしょうか。以降、どう動いて行くのか注視して見守っていきます。
注目されなくなったユーチューバーのようにどんどん過激になり、国際問題になるような強烈な迷惑メールを期待しております。
特記事項は総務省のマイナカードを騙るものや、東京電力TEPCOの料金支払い督促詐欺が増えてきたこと。
サルが考えた偽装URL
これはどーでもいい情報。チュンパンジンが考えた偽装先偽モンURLや策など。身バレ警戒してるのでかなりの抜粋。
| Amazon | lamp-bwrk-vvej.(英数字).workers.dev |
| Amazon | (文字化け).(文字化け).(文字化け).(英数字).(文字化け) |
| 三井住友 | smbc.lejuhuiclub.com |
| 三井住友 | smcc.mkgamer.com |
| 三井住友 | smcc.kw740.com |
| 三井住友 | smdc.learnoni.com |
| 三井住友 | smdc.epw580.com |
| 三井住友 | smdcmail.co.jp.mwejkawa.com |
| 三井住友 | hell.(英数字).com |
| 三井住友 | cntc.(英数字).com |
| ETC | (英数字).com |
| ETC | etc-noreply.(英数字).com |
| ETC | www2-etceng.ryxzk.line.pm |
| ETC | etc-meisai.(英数字).com |
| えきねっと他 | eki-co-jp-admin-index.(英字).cn |
| えきねっと他 | in-eki-co.jp-link-open.(英字).cn |
| えきねっと他 | il-ekii-co-jp.open.(英字).cn |
“うにゃ”とか“英数”と隠してるのは何らかの暗号に使えそうな部分だから。
身バレすると中国人がメールくれなくなるのでかなり隠しました。
サルの手口まとめ
サルの手口に関してはずっと同様なためそちらを参照。
スーパーコピー代引~迷惑メール第1位
スーパーコピー代引メールの代表的表題と表示名
落ち着きを取り戻したスーパーコピー代引。特に変わり映えないので7月の参照。
繰り返しになりますが、コイツラは「偽物でもいいから…と考える客に偽商品を売るのでなく、訪問者のパソコン/スマホをコンピュータウィルス感染させ盗み取るのが目的」。
なので、そのサイトには。
| ●@●.asia ●@●.net.cn ●@●.cn ●@●.hk ●@●.info |
●@●.me ●@●.mobi ●@●.net ●@●.org ●@●.us |
スーパーコピー代引送信元サーバーとIP範囲
今月も100%が中国国内から発信されたもの。
三井住友銀行~迷惑メール第2位
三井住友銀行迷惑メールの代表的表題
| メールの表題(抜粋) |
| 『【重要】三井住友銀行アカウントの再認証が必要です』 『三井住友カードの異常通知』 『三井住友カードからの緊急のご連絡』 『お支払い日のご案内』 『【重要情報】三井住友カードサービスの緊急連絡、情報を確認してください』 |
三井住友銀行迷惑メール送信元サーバーとIP範囲
| 国 | 送信元サーバー | IP範囲 | |
| 1 | アメリカ | AS-COLOCROSSING United States colocrossing.com | 23.95.128.0/17 192.210.196.0/22 |
| 2 | 東京 =香港企業 |
UCLOUD INFORMATION TECHNOLOGY HK LIMITED Japan Tokyo Tokyo ucloud.cn | 152.32.0.0/12 |
その他、テンセント=中国企業、台湾、今流行りのイスラエルのテルアビブまで。
ETC~迷惑メール第3位
ETC迷惑メールの代表的表題
| メールの表題(抜粋) |
| 『【重要なお知らせ】解約予告のお知らせ(ETC利用照会サービス)』 『【重要】ETCアカウント維持のご連絡』 『【重要】ETC利用照会サービスのお知らせ』 |
ETC迷惑メール送信元サーバーとIP範囲
| 国 | 送信元サーバー | IP範囲 | |
| 1 | アメリカ | AS-COLOCROSSING United States colocrossing.com | 23.95.128.0/17 107.173.0.0/16 198.23.156.0/22 198.23.172.0/22 |
| 2 | 香港 | Forewin Telecom Group Limited, ISP at Hong Kong apnic.net | 118.102.9.0/24 |
Amazon~迷惑メール第4位
Amazon迷惑メールの代表的表題
| メールの表題(抜粋) |
| 『Amazon支払い方法を確認できず、注文を出荷できません』 『【重要なお知らせ】Amazonアカウントのからの緊急の連絡、情報を更新してください。番号:●●』 |
Amazon迷惑メール送信元サーバーとIP範囲
| 国 | 送信元サーバー | IP範囲 | |
| 1 | ファーウェイ | Huawei Cloud Service data center China Beijing Beijing cnnic.cn Huawei=中国企業 |
116.204.28.0/22 116.204.64.0/18 |
| 2 | AWS | AMAZON-02 United States Virginia Reston aws.amazon.com | 101.36.96.0~101.36.104.255 |
胡散臭いのが2番のAWS。AWSとはアマゾン ウェブ サービスのことで、契約した一般ユーザに使用させるサーバ。もちろん不正使用の温床。
なんだけど、ややこしいのは本物のAmazonもメール発信に使用するサーバであること。なので要注意。
ただし、上記2番は正確なWHOIS情報が設定されてない、IP周囲は中国・香港であることからソイツラによる嘘情報である可能性も。先の三井住友欄の2番香港UCLOUDが真横のIPです。
何にせよ、Amazonからのメールに関しては「送信元IPを探っても本物かどうか断言できない状況に陥ってる」ことだけは言えます。
確かにAmazonも中国人詐欺師の被害者ではありますが、色々無責任すぎるんだよな。犯罪者に貸し出すな。使い回しでなく送信用の専用サーバ準備しろ。
えきねっと~迷惑メール第5位
えきねっと迷惑メールの代表的表題
| メールの表題(抜粋) |
| 『「えきねっと」アカウントの自動退会処理について』 |
えきねっと迷惑メール送信元サーバーとIP範囲
| 国 | 送信元サーバー | IP範囲 | |
| 1 | アメリカ | Kamatera Inc United Kingdom England Poplar cloudwm.com KAMATERA United States New York New York cloudwm.com |
83.229.68.0/24 104.128.65.0/24 |
注目は最近増えてきたKAMATERA。cloudwm.comなるクラウドサーバー事業者です。
3日坊主なのに意外に続いてるサル研究。7月から始めて、7月、8月、9月、10月、11月と5か月分投稿したことになります。
作業的にも慣れてきたのか、いい感じでサバけてます。
なので、「ここに登録すると迷惑メールがたくさん来るよ」というサービスがありましたら是非ご教示下さい。詐欺メール撲滅のためご協力をお願い致します。
他、以下の先月のニュースも参考に。“実情を知ること”が一番の対策です。
コメント