迷惑メール分析【傾向と対策】~Amazon詐欺が激減-2023年11月

ポク太郎です。

今月も重労働のサル研究

本投稿は直近の迷惑メール犯人送信元サーバとIP範囲よくある表題偽装される企業などの分析結果。2023年11月の1か月分です。

先月、身バレしたのか半減しましたが、今月はほんの少し戻しました。


Amazon詐欺メールが4位に凋落!?~2023年11月分

迷惑メールの本数
被害企業 (先月)
1 スーパーコピー代引 266 238
2 三井住友銀行 133 34
3 ETC 48 31
4 Amazon 29 105
5 えきねっと 19 29

全体数は少し戻して、半減した先月比+100通の523

注目点はAmazonが4位に凋落!?という衝撃的な結果。“詐欺メール!?”と真っ先に疑う習慣が一般に定着してきたってことでしょうか。以降、どう動いて行くのか注視して見守っていきます。

注目されなくなったユーチューバーのようにどんどん過激になり、国際問題になるような強烈な迷惑メールを期待しております。

特記事項は総務省のマイナカードを騙るものや、東京電力TEPCOの料金支払い督促詐欺が増えてきたこと。

サルが考えた偽装URL

前のサル思考 次のサル思考 上へ

これはどーでもいい情報。チュンパンジンが考えた偽装先偽モンURLや策など。身バレ警戒してるのでかなりの抜粋。

中国人が考えた偽装URL例
Amazon lamp-bwrk-vvej.(英数字).workers.dev
Amazon (文字化け).(文字化け).(文字化け).(英数字).(文字化け)
三井住友 smbc.lejuhuiclub.com
三井住友 smcc.mkgamer.com
三井住友 smcc.kw740.com
三井住友 smdc.learnoni.com
三井住友 smdc.epw580.com
三井住友 smdcmail.co.jp.mwejkawa.com
三井住友 hell.(英数字).com
三井住友 cntc.(英数字).com
ETC (英数字).com
ETC etc-noreply.(英数字).com
ETC www2-etceng.ryxzk.line.pm
ETC etc-meisai.(英数字).com
えきねっと他 eki-co-jp-admin-index.(英字).cn
えきねっと他 in-eki-co.jp-link-open.(英字).cn
えきねっと他 il-ekii-co-jp.open.(英字).cn

うにゃ”とか“英数”と隠してるのは何らかの暗号に使えそうな部分だから。

身バレすると中国人がメールくれなくなるのでかなり隠しました。

サルの手口まとめ

前のサル思考 次のサル思考 上へ

サルの手口に関してはずっと同様なためそちらを参照。

スーパーコピー代引~迷惑メール第1位

スーパーコピー代引メールの代表的表題と表示名

落ち着きを取り戻したスーパーコピー代引。特に変わり映えないので7月の参照

繰り返しになりますが、コイツラは「偽物でもいいから…と考える客に偽商品を売るのでなく訪問者のパソコン/スマホをコンピュータウィルス感染させ盗み取るのが目的」。

なので、そのサイトには絶対に接続しないこと

スーパーコピー代引の発信元メールアドレス
●@●.asia
●@●.net.cn
●@●.cn
●@●.hk
●@●.info
●@●.me
●@●.mobi
●@●.net
●@●.org
●@●.us

スーパーコピー代引送信元サーバーとIP範囲

今月も100%が中国国内から発信されたもの。

三井住友銀行~迷惑メール第2位

三井住友銀行迷惑メールの代表的表題

三井住友銀行を騙る迷惑メールの代表的な表題
メールの表題(抜粋)
【重要】三井住友銀行アカウントの再認証が必要です
三井住友カードの異常通知
三井住友カードからの緊急のご連絡
お支払い日のご案内
【重要情報】三井住友カードサービスの緊急連絡、情報を確認してください

三井住友銀行迷惑メール送信元サーバーとIP範囲

三井住友銀行迷惑メール送信元サーバーIP範囲
送信元サーバー IP範囲
1 アメリカ AS-COLOCROSSING United States colocrossing.com 23.95.128.0/17
192.210.196.0/22
2 東京
香港企業
UCLOUD INFORMATION TECHNOLOGY HK LIMITED Japan Tokyo Tokyo ucloud.cn 152.32.0.0/12
IP範囲の表記154.85.44.0/22なる形式はCIDR表記と呼び、154.85.44.0 ~ 154.85.47.255のこと。こちらでIP範囲を演算するプログラムを公開しております。

その他、テンセント中国企業台湾、今流行りのイスラエルテルアビブまで。

ETC~迷惑メール第3位

ETC迷惑メールの代表的表題

ETCを騙る迷惑メールの代表的な表題
メールの表題(抜粋)
【重要なお知らせ】解約予告のお知らせ(ETC利用照会サービス)
【重要】ETCアカウント維持のご連絡
【重要】ETC利用照会サービスのお知らせ

ETC迷惑メール送信元サーバーとIP範囲

ETC迷惑メール送信元サーバーIP範囲
送信元サーバー IP範囲
1 アメリカ AS-COLOCROSSING United States colocrossing.com 23.95.128.0/17
107.173.0.0/16
198.23.156.0/22
198.23.172.0/22
2 香港 Forewin Telecom Group Limited, ISP at Hong Kong apnic.net 118.102.9.0/24

Amazon~迷惑メール第4位

Amazon迷惑メールの代表的表題

Amazonを騙る迷惑メールの代表的な表題
メールの表題(抜粋)
Amazon支払い方法を確認できず、注文を出荷できません
【重要なお知らせ】Amazonアカウントのからの緊急の連絡、情報を更新してください。番号:●●

Amazon迷惑メール送信元サーバーとIP範囲

Amazon迷惑メール送信元サーバーIP範囲
送信元サーバー IP範囲
1 ファーウェイ Huawei Cloud Service data center China Beijing Beijing cnnic.cn
Huawei中国企業
116.204.28.0/22
116.204.64.0/18
2 AWS AMAZON-02 United States Virginia Reston aws.amazon.com 101.36.96.0~101.36.104.255

胡散臭いのが2番のAWSAWSとはアマゾン ウェブ サービスのことで、契約した一般ユーザに使用させるサーバ。もちろん不正使用の温床。

なんだけど、ややこしいのは本物のAmazonもメール発信に使用するサーバであること。なので要注意。

ただし、上記2番は正確なWHOIS情報が設定されてない、IP周囲は中国・香港であることからソイツラによる嘘情報である可能性も。先の三井住友欄の2番香港UCLOUDが真横のIPです。

何にせよ、Amazonからのメールに関しては「送信元IPを探っても本物かどうか断言できない状況に陥ってる」ことだけは言えます。

確かにAmazonも中国人詐欺師の被害者ではありますが、色々無責任すぎるんだよな。犯罪者に貸し出すな。使い回しでなく送信用の専用サーバ準備しろ。

えきねっと~迷惑メール第5位

えきねっと迷惑メールの代表的表題

えきねっとを騙る迷惑メールの代表的な表題
メールの表題(抜粋)
「えきねっと」アカウントの自動退会処理について

えきねっと迷惑メール送信元サーバーとIP範囲

えきねっと迷惑メール送信元サーバーIP範囲
送信元サーバー IP範囲
1 アメリカ Kamatera Inc United Kingdom England Poplar cloudwm.com
KAMATERA United States New York New York cloudwm.com
83.229.68.0/24
104.128.65.0/24

注目は最近増えてきたKAMATERAcloudwm.comなるクラウドサーバー事業者です。

3日坊主なのに意外に続いてるサル研究。7月から始めて、7月、8月、9月、10月、11月と5か月分投稿したことになります。

作業的にも慣れてきたのか、いい感じでサバけてます。

なので、「ここに登録すると迷惑メールがたくさん来るよ」というサービスがありましたら是非ご教示下さい。詐欺メール撲滅のためご協力をお願い致します。

他、以下の先月のニュースも参考に。“実情を知ること”が一番の対策です。

コメント

タイトルとURLをコピーしました