最近 流行りの(?) #えきねっと を騙る 詐欺メールについての 個人的な考察です #メモ書き
-
yamate_yokohama
- 13646
- 7
- 0
- 0
-
- いいね!0
桐生 真弥 Mahiro Kiryu
@mahiro_tjpw
珍しく詐欺にあいかけた話。 こんなメールが来てて「やべっログインせんと」とポチってしまった。 ログインページに飛んでIDを入れようとした瞬間にこのページが暗号化されてないことに気付いて「バカタレ~!!詐欺じゃ~!!」となった次第。正直このメールはレベルちょっと高かった。近年で一番。 pic.twitter.com/LnJ3Sdjkrq
2022-03-05 20:58:56
拡大
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
やまてさんにも届いたけれど「自動退会処理」「アカウント停止」詐欺メール 毎日 数十件ある。 これを「巧妙」とか思っているようでは 騙され放題であるよ。 「これ詐欺だったの?」──「えきねっと」をかたるメール、手口の巧妙さが話題に “自動退会処理”に注意 - ITmedia itmedia.co.jp/news/articles/…
2022-03-08 08:41:18
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
いずれにせよ 詐欺メール 1. message id 2. 経路 3. DMARC 4. DNSSEC 5. 本文の ベイズ推定 で 何かしら問題があり 99.99% は スパムとして処理される。
2022-03-08 08:48:12
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
例の「手口の巧妙さが話題に」の えきねっと を騙るメール 今朝 また来ていたのである。 まず本文中 eki-net.com/Personal/Top/I… への リンク が 実際には "https://ek.i-net.なんとか" から始まるリンクに書き換えられている。 twitter.com/strato_yamate/… pic.twitter.com/vEERA53U1e
2022-03-09 10:46:00
拡大
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
ヘッダを見てみる。 Sender: jr-manger1@q1fpzhv.cn Message-ID: <xxxxxxxxxx@q1fpzhv.cn> 中原標準時区(UTC+8) であるよ。( .cn なわけなかろ? ) 正常な えきねっとのメールであれば Message-ID: <xxxxxxxxxx@eki-net.com> である。 pic.twitter.com/y9pcagOJj7
2022-03-09 10:59:48
拡大
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
確かに詐欺メールかもしれない。 でも あまりに稚拙なものであるよ。 これを「これ詐欺だったの?」「手口が巧妙」とか思っているようだったら インターネットから離れるべきである。 でないと 何度でも破産する。
2022-03-09 11:04:10
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
画像に「JR東日本」のロゴが表示されている。 つまり詐欺メールの送信者には 桐生さんが「メールを読んだ」ことが わかってしまっている。 かわいそうだけれど どうしようもない。 桐生さんがTwitterに投稿した画像(桐生さんのTwitterアカウント(@mahiro_tjpw)から引用)image.itmedia.co.jp/l/im/news/arti…
2022-03-09 11:27:20
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
NICT が インターネット上で到達可能な未使用IPアドレス空間 ( 通称 ダークネット ) のトラフィックを公開している。 国コード別ユニークホスト数では CN が ほぼ常に一位である。 NICTERWEB - NICT nicter.jp/top10
2022-03-09 11:58:27
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
SSH とか SMB とか MSSQL を衝いてくる厄介なお隣さんであるよ。 画像含めて 詐欺メールのコンテンツ再生するとどういうことが起きるか とか 学校では教えないのかな。🤔
2022-03-09 12:04:39
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
午后 届いた えきねっと を騙るメールの一例。( これなら わかりやすい ) 中には 例の「これ詐欺だったの?」「手口が巧妙」メール 住所とか入力してしまったという人もいて 悲惨なことになっているようである。 pic.twitter.com/e9TCmfZrWD
2022-03-09 17:08:40
拡大
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
ヘッダを見る。 Message-ID: こそ eki-net.com を 騙っている。 でも $ curl -s ipinfo.io/128.14.233.105 とかやってみると Los Angeles, California, US であると json形式で返ってくる。 えきねっと が ロサンゼルス? pic.twitter.com/RMWZ1NXSrN
2022-03-09 17:26:31
拡大
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
そして ロサンゼルスなのに 時間帯は 隴蜀時区(UTC+7) たぶん 雲南省とか 四川省とか の辺りであるよ。 バブルより古い 新人類世代の おばあちゃんの知恵袋である。 Z世代か何か知らないけれど 頑張ってくださいね。
2022-03-09 17:30:36もちろん 詐欺メールを含めて スパムは数十件~数百件届くので とてもすべて手動で調べていれない。
それで そのためにコストを掛けるのであるよ。
Office365 Exchangeにも スパム対策はあるけれど 外部にメール洗浄サーバを置いて Cyren と Cloudmark を併用して検疫しています。
( もちろんエンドポイントでの各種防御も欠かせない )
✡
09:22 Mittwoch, 9. März 2022 (UTC)
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
えきねっと を騙る 詐欺メール 昨日の夜 また 届いたのである。 よく作りこまれているのであるよ。 あまり 相手にしたくない。 pic.twitter.com/8D52aUT1G3
2022-03-10 06:32:23
拡大
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
1. 送信元 日本国内 さくらサーバと思われる ( ただし世界のどこからも到達できない ) 2. eki-net.com を騙っているけれど DNS の公開鍵との不一致で スパムとして判定 fail (key not found in DNS) header.d=eki-net.com pic.twitter.com/LRjY5mSJoX
2022-03-10 06:47:17
拡大
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
どこかの 設定まずい機械を踏み台に使われると 侵徹されるかもしれない。( スパムとして判定されない ) 素人が「数撃てば当たる式」に やっているわけではなさそうである。 過去に例ありであるよ。
2022-03-10 07:00:33
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
きのう届いた えきねっと を騙る 大陸方面?からの 詐欺メールである。 DKIM おれおれ認証しようとして失敗であるよ。 まあ 手を変え品を変え。。 pic.twitter.com/p6yIEKlKMH
2022-03-11 10:50:44
拡大
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
Q. フィッシングメールを見分けることは可能なのでしょうか? A. 利用者のレベルもさまざまなので 当協議会では『ここを見れば分かる』といった案内はしていない とのこと。 「#えきねっと」かたる巧妙な偽メール出回る…誤って個人情報入力したらどう対処? - オトナンサー otonanswer.jp/post/109290/
2022-03-15 12:08:59
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
なにも #詐欺メール は #えきねっと に限らないので 見分けられるようになるべきであるよ。 見分けれないのであれば ( Androidスマホの ) Gapps から ウェブブラウザを抜いてしまうことが最善であるよ。 やまてさんがそうしているように。
2022-03-15 12:16:22
ヒト科の幼虫 2匹目 🐛 💙🤍
@strato_yamate
( Androidスマホの ) Gapps から ウェブブラウザを抜いてしまうのである。 そうすれば 間違えて メール / SMSのリンクをいくら タップしても「何も起きなくなる」のであるよ。
2022-03-15 12:20:08