フィッシング

Amazonを騙るフィッシングメールが来たので調査してみた [カード情報更新のお知らせ編]

2020-10-30

概要

Amazonを騙りカード情報更新を促すメールが届きました。
アカウントがロックされているため、ログインし個人情報の再提出が必要と書いてあります。

フィッシングメールの中身

実際に送られてきたメールがこちらです。

パッと見た感じはAmazonからのメールに見えなくもありません。が、よく読んでみると日本語がおかしい部分が見られます。
特に最後の文章が面白いですね。
24時間前に情報を更新することをお勧めします。それ以外の場合、あなたのアカウントは永久ロック。」
永久ロックだそうです。

メールヘッダ

次に送られてきたメールのヘッダ情報を抜粋して見てみます。

 html
Return-Path: <info@amezomn-rmaild.cc>
:
:
Received: from mail0.amezomn-rmaild.cc (amezomn-rmaild.cc [92.38.131.26])
by yyyy.zz (Postfix) with ESMTPS id F254D202296B2
for <xxxx@yyyy.zz>; Fri, 30 Oct 2020 22:58:11 +0900 (JST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=amezomn-rmaild.cc;
h=Message-ID:From:To:Subject:Date:MIME-Version:Content-Type;
i=info@amezomn-rmaild.cc;
bh=djSOWJE6pkjJ1rFC4X/sv1SFDEMbw90xgIrNlNv3/kk=;
b=HqQTOuIdVZl1itFhi7xW7oVFiz7SiwTI8aGtf6lJq0tpQyv9zeqCvg4CqBGOurlbS2WGZjRg9sdc
26xaNlqSHtjbO6C7z3oZAX/rHpVtRwr1jaly54f2shOQIoL8oNVTkn33QEWVE/zA89LsTuDrhvcj
1u9x7GEIJxcZc1TYAn8=
Message-ID: <20201027172456853174@amezomn-rmaild.cc>
From: "Amazon.co.jp" <info@amezomn-rmaild.cc>

まず、送信元ですがこの手のメールには珍しく@amazon.co.jp以外のドメインとなっています。
ヘッダの中から調査するIOCは以下になります。

  • amezomn-rmaild[.]cc
  • 92.38.131[.]26

フィッシングサイト

実際のWebサイトには接続できませんでした。
IOCは以下になります。

  • https://amezomn-gu6i[.]cc/
  • 104.211.74[.]243

IOCの調査

すべて2020-10-30時点での情報です。

  • amezomn-rmaild[.]cc
    VirusTotal : 報告はありません。
  • 92.38.131[.]26
    AbuseIPDB : 報告はありません。AbuseIPDBに報告しました。(2020-11-01)
    VirusTotal : 報告はありません。
  • https://amezomn-gu6i[.]cc/
    VirusTotal : 1つMaliciousとして報告されています。
  • 104.211.74[.]243
    AbuseIPDB : 報告はありません。
    VirusTotal : 報告はありません。

個別に調査してみます。

amezomn-rmaild[.]cc

まずは、このドメインを登録している組織をwhoisで調べてみます。

 html
Domain Name: AMEZOMN-RMAILD.CC
Registry Domain ID: 152180718_DOMAIN_CC-VRSN
Registrar WHOIS Server: whois.discount-domain.com
Registrar URL: http://gmo.jp
Updated Date: 2020-10-30T10:50:46Z
Creation Date: 2020-10-30T10:45:59Z
Registry Expiry Date: 2021-10-30T10:45:59Z
Registrar: GMO Internet, Inc. d/b/a Onamae.com
Registrar IANA ID: 49
Registrar Abuse Contact Email: abuse@gmo.jp
Registrar Abuse Contact Phone: +81.337709199
Domain Status: ok https://icann.org/epp#ok
Name Server: NS1.DNS.COM
Name Server: NS2.DNS.COM
DNSSEC: unsigned

お名前.comで今日登録されたドメインの様です。このフィッシングのために登録されたドメインと見て間違いなさそうです。
今日登録されたばかりのためかVirusTotalには報告はありませんでした。

92.38.131[.]26

送信元のIPを見てみます。こちらはロシアのIPとなっています。このIPを脅威インテリジェンスで調査してみました。
AbuseIPDB, VirusTotal共に報告はありませんでした。AbuseIPDBには報告しました。(2020-11-01)
今のところ踏み台などの報告はないようですが、踏み台またはメールの送信サーバとして利用されたのではないかと思われます。

https://amezomn-gu6i[.]cc/

まずは、このドメインを登録している組織をwhoisで調べてみます。

 html
Domain Name: AMEZOMN-GU6I.CC
Registry Domain ID: 152180674_DOMAIN_CC-VRSN
Registrar WHOIS Server: whois.discount-domain.com
Registrar URL: http://gmo.jp
Updated Date: 2020-10-30T10:50:38Z
Creation Date: 2020-10-30T10:45:22Z
Registry Expiry Date: 2021-10-30T10:45:22Z
Registrar: GMO Internet, Inc. d/b/a Onamae.com
Registrar IANA ID: 49
Registrar Abuse Contact Email: abuse@gmo.jp
Registrar Abuse Contact Phone: +81.337709199
Domain Status: ok https://icann.org/epp#ok
Name Server: NS1.DNS.COM
Name Server: NS2.DNS.COM
DNSSEC: unsigned

このドメインもお名前.comで今日登録されたドメインの様です。このフィッシングのために登録されたドメインと見て間違いなさそうです。
今日登録されたばかりですがVirusTotalには1つMaliciousとして報告がありました。

104.211.74[.]243

このIPはWhoisで見るとインドのMicrosoft Corporationのデータセンタに割り当てられている様です。
AbuseIPDB, VirusTotalともに報告はありませんでした。

まとめ

最近のフィッシングメールおよびフィッシングサイトは、本物と見間違うほど本物っぽく作られています。ですが、クリックする前にURL(本文に書かれているものではなく)を確認することでアクセスする前に気付くことができます。
仮にアクセスしてしまった場合も、URLや証明書をきちんと確認することが重要です。
また、リンクからアクセスするのではなく、ブックマークなどからアクセスすることでフィッシングサイトへの誘導から逃れることが可能です。

最近、様々な企業を装ったフィッシングメールが送られてきていますので気を付けましょう。

-フィッシング

© 2020 Mister Style All rights reserved.