詐欺→【au ID】auかんたん決済のロックを解除、情報を更新してください。メール番号●●

2022.04.19

ポク太郎です。

注意喚起として迷惑メール情報を連投します。

中国政府の国策にも見える、コロナばら撒き→巣ごもり需要大→大量の詐欺メールコンボ。

単純故に通常は迷惑メールフィルタがブロックするも、大量故に稀にすり抜け稀に届く→つまり、受信者が常に意識してる訳でない状態に陥いることに。

なので大量に出回るAmazonLINEとは別のマイナーなものほど思わず触ってしまう危険性大。頭の片隅に常に置いて下さい。


『【au ID】auかんたん決済のロックを解除、情報を更新してください。メール番号●●』

詐欺師執筆のauかんたん決済メール文章

執筆した詐欺師の著作権を尊重・守護するため、以下は“引用”記載ですが誤って触ってはいけない部分、詐欺師が暗号的に使えそうな部分は伏字●。

auのお客様:

お客様のアカウントに異常検出しました。大変お手数ですが、24時間内にアカウントを登録内容を確認する必要があります。但しこの時間過ぎても確認取れない場合にはアカウントを一時停止させて頂くことがありますので、アカウントのご利用更新にご協力をお願い致します。御了承ください。
アカウントのご利用確認のお知らせについてはこちら
http●●bitly.ws/●●

※このアドレスへの返信は出来ませんので、ご注意ください。
※ご不明点がございましたら下記窓口までお問合せください。
<au契約のお客さま>
お問合せ先 KDDIお客さまセンター
au携帯電話からは局番なしの157(無料)
一般電話からは0077-7-111(無料)
お客様番号:24654
受付時間:9:00-20:00(年中無休)

引用:詐欺師発信のメール『【au ID】auかんたん決済のロックを解除、情報を更新してください。メール番号●●』[2022年4月]

メール特徴・詐欺師IP・ドメイン情報

auかんたん決済を騙る詐欺メール
送信者欄表示 auto <avone1@c1002.coreserver.jp>←レンタルサーバのアドレス。
送信元IP 202.172.25.123
c1002.coreserver.jp←レンタルサーバのアドレス。
109.166.39.251
service.jingxvip.cn←中国ドメイン。アドレスはzvxopvx@service.jingxvip.cn。
偽装リンクの場所・転送先 上記メール内で伏字●としたリンク
bitly.ws←オセアニアのサモア独立国ドメイン!
特記事項 ガボン共和国といいサモア独立国といい、中国政府が必死に取り込もうとしてる第三世界。やはり政府の動きに連動してる?

『【au ID】auかんたん決済の本人確認のお知らせ、情報を更新してください。』

詐欺師執筆のauかんたん決済メール文章

auのお客様:

お客様のアカウントに異常検出しました。大変お手数ですが、24時間内にアカウント
を登録内容を確認する必要があります。但しこの時間過ぎても確認取れない場合にはアカ
ウントを一時停止させて頂くことがありますので、アカウントのご利用更新にご協力をお
願い致します。御了承ください。

アカウントのご利用確認のお知らせについてはこちら
<●●.workers.dev/>

※このアドレスへの返信は出来ませんので、ご注意ください。
※ご不明点がございましたら下記窓口までお問合せください。
<au契約のお客さま>
お問合せ先 KDDIお客さまセンター
au携帯電話からは局番なしの157(無料)
一般電話からは0077-7-111(無料)
受付時間:9:00-20:00(年中無休)

COPYRIGHT © KDDI CORPORATION, ALL RIGHTS RESERVED.
<●●.workers.dev/>

引用:詐欺師発信のメール『【au ID】auかんたん決済の本人確認のお知らせ、情報を更新してください。』[2022年4月]

メール特徴・詐欺師IP・ドメイン情報

auかんたん決済を騙る詐欺メール
送信者欄表示 auto <auonemy3@oc1002.coreserver.jp>←またcoreserver.jp。
送信元IP 150.95.12.108
oc1002.coreserver.jp
偽装リンクの場所・転送先 「アカウントのご利用確認のお知らせについてはこちら」ボタン、文末の著作権表記リンク
●●●.workers.dev←自動生成サイト!

プログラムでページを自動作成するCloudflare Workersなるサービスで作成されたもの。URLがプロジェクト名.サブドメイン名.workers.devと割り当てられる仕様。
特記事項 これ、coreserver.jpに聞けば犯人即特定されるんじゃ?

『【重要】auかんたん決済のロックを解除、情報を更新してください。メール番号:●●』

詐欺師執筆のauかんたん決済メール文章

お客様

いくつかのメールを送信しました,確認が取れていません。アカウントの一部の機能が制限されています。大変お手数ですが、24時間内にアカウントを登録内容を確認する必要があります。但しこの期日過ぎても確認取れない場合にはアカウントを一時停止させて頂くことがありますので、アカウントのご利用確認にご協力をお願い致します。御了承ください。

▼ご利用確認

===================
※2つ以上のメールアドレスを同時に「メール配信先」から外した場合、複数の設定変更通知が届きます。
※このアドレスへの返信は出来ませんので、ご注意ください。
※ご不明点がございましたら下記窓口までお問合せください。
[メールコード●●]
■お問合せ先 KDDIお客さまセンター■
au携帯電話からは局番なしの157(無料)
一般電話からは0077-7-111(無料)
受付時間:9:00~20:00(年中無休)

引用:詐欺師発信のメール『【重要】auからの重要な知らせ【月間のデータ通信量の通信速度制限】メール番号●●』[2022年3月]

メール特徴・詐欺師IP・ドメイン情報

auかんたん決済を騙る詐欺メール
送信者欄表示 auかんたん決済 <aqpyj@sevice.axqnr.cn>←中国ドメイン。
auかんたん決済 <zvxopvx@service.jingxvip.cn>←中国ドメイン。
送信元IP 109.166.39.181
sevice.axqnr.cn←中国ドメイン。
109.166.39.251
service.jingxvip.cn←中国ドメイン。
偽装リンクの場所・転送先 「ご利用確認」ボタン
●●●.workers.dev←自動生成サイト!
特記事項

『【重要】auからの重要な知らせ【月間のデータ通信量の通信速度制限】メール番号●●』

詐欺師執筆のau月間データ通信量メール文章

(このメールは、配信専用のアドレスで配信されています)

auのお客様

いつもauをご利用いただき誠にありがとうございます。お客様の月間のデータ通信量がご利用中のプランの上限を超過したため、通信速度を低速に制限しております。

通信速度制限中にそのまま使い続けた場合、超過料金は発生しますので、早めに解除手続きの程よろしくお願い致します。予めご了承ください。

au IDログイン

My au利用規約、my UQ mobile利用規約、ID利用規約および

auポイントプログラム利用規約に同意の上、ログインしてください。

(直接アクセスできない場合は、手動でブラウザにコピーして開いてください)

====================
※このアドレスへの返信は出来ませんので、ご注意ください。

COPYRIGHT © KDDI CORPORATION, ALL RIGHTS RESERVED.

引用:詐欺師発信のメール『【重要】auからの重要な知らせ【月間のデータ通信量の通信速度制限】メール番号●●』[2022年4月]

メール特徴・詐欺師IP・ドメイン情報

auを騙る詐欺メール
送信者欄表示 auto <support@service.9q9s8.cn>←中国ドメイン。
送信元IP 23.94.22.113
colocrossing.com←アドレスはanonymous@c1002.coreserver.jp。
偽装リンクの場所・転送先 上記メール内で伏字●としたリンク
●●●.workers.dev←自動生成サイト!

「My au利用規約」「my UQ mobile利用規約」「ID利用規約」「auポイントプログラム利用規約」へのリンクは本物URLを記載してるようです。
特記事項 au関連詐欺師の犯人はcoreserver.jpのユーザーのようです。詐欺師同士で縄張りの取り決めでもあるのでしょうか「auは俺のシマだからな!」

『【重要】auサポートのお知らせ、情報を更新してください。メール番号:●●』

詐欺師執筆のauサポートメール文章

(このメールは、配信専用のアドレスで配信されています)

auのお客様

いつもauをご利用いただき誠にありがとうございます。お客様の月間のデータ通信量がご利用中のプランの上限を超過したため、通信速度を低速に制限しております。

通信速度制限中にそのまま使い続けた場合、超過料金は発生しますので、早めに解除手続きの程よろしくお願い致します。予めご了承ください。

【ご会員ID】
———————————————————–
・会員ID : [RECEIVER_ADDRESS]←バグ!?
———————————————————–

⇒アカウントを更新してください

(直接アクセスできない場合は、手動でブラウザにコピーして開いてください)

====================
※このアドレスへの返信は出来ませんので、ご注意ください。

COPYRIGHT © KDDI CORPORATION, ALL RIGHTS RESERVED.

引用:詐欺師発信のメール『【重要】auサポートのお知らせ、情報を更新してください。メール番号:●●』[2022年4月]

メール特徴・詐欺師IP・ドメイン情報

auサポートを騙る詐欺メール
送信者欄表示 My au <support@service.lvgmcc.cn>←中国ドメイン。
My au <support@service.79qta.cn>←中国ドメイン。
送信元IP 107.173.104.58
colocrossing.com←迷惑メールご用達のクラウドサーバー。
23.95.67.50
colocrossing.com←迷惑メールご用達のクラウドサーバー。
偽装リンクの場所・転送先 上記メール内で伏字●としたリンク
●●●.workers.dev←自動生成サイト!
特記事項 本文内の会員ID:[RECEIVER_ADDRESS]。恐らく送信先アドレスのID部分をプログラムで抜き出し表示する予定だった場所。詐欺師、致命的なバグを出してしまいました。

『【重要】auサポートの緊急連絡、情報を更新してください。』

詐欺師執筆のauサポートメール文章

AU Logo 的图像结果
(このメールは、配信専用のアドレスで配信されています)

auのお客様

いつもauをご利用いただき誠にありがとうございます。お客様の月間のデータ通信量がご
利用中のプランの上限を超過したため、通信速度を低速に制限しております。

通信速度制限中にそのまま使い続けた場合、超過料金は発生しますので、早めに解除手続
きの程よろしくお願い致します。予めご了承ください。

au IDログイン <●●●.sytes.net/>

My au利用規約 <●●www.au.com/my-au/terms/>、my UQ mobile利用規約
<●●www.uqwimax.jp/mobile/files/terms/myuqmobile_service.pdf>、ID利用規約
<●●id.auone.jp/id/pc/legal/auid_terms.html>および

auポイントプログラム利用規約 <●●www.au.com/support/point/regulation-point
/>に同意の上、ログインしてください。

(直接アクセスできない場合は、手動でブラウザにコピーして開いてください)
====================
※このアドレスへの返信は出来ませんので、ご注意ください。

KDDI
COPYRIGHT ? KDDI CORPORATION, ALL RIGHTS RESERVED.

引用:詐欺師発信のメール『【重要】auサポートの緊急連絡、情報を更新してください。』[2022年5月]

メール特徴・詐欺師IP・ドメイン情報

auサポートを騙る詐欺メール
送信者欄表示 auto <admin@auto.co.jp>リターンアドはwww@vultr.guest。月額$2.5のクラウドVPS。
送信元IP 45.76.206.239
vultrusercontent.com←フィッシング詐欺によく使われるサーバ。
偽装リンクの場所・転送先 「au IDログイン」リンク
●●●.sytes.net←詐欺師運営のサイト?
特記事項 いきなり冒頭で中国語をお漏らししてしまいました。リンク先である●●●.sytes.netを調べると山のようなサブドメインに自治体や実在の病院のコピーサイト多数。詐欺師運営のコピーサイト?
注意書き「(直接アクセスできない場合は、手動でブラウザに…)」は通常迷惑メールフォルダに入ってるとクリックできなくされてるからその対策。

本物のauが注意喚起してるページがこちら。

利用した覚えのない請求があるので確認したい
【迷惑メール・SMS】フィッシングサイトなどに騙されてau ID・パスワードを入力してしまった。何をしておけばいいですか?
【迷惑メール・SMS】最近多い迷惑メール・詐欺メールの事例と特徴が知りたい

コメント

タイトルとURLをコピーしました