フィッシングメール来ました

ここ最近Amazonを偽装したフィッシングメール（Phishing mail）が連日届いていますので今回はこれを肴にしてみます。

届いたメール

届いたメールの差出人はAmazon.co.jpと表示されていますが、メールアドレスを確認すると全て@hotmail.comであり偽装であることが分かります。（アドレスを右クリック　ー　アドレスをコピー　ー　適当な場所にペーストすると本当のアドレスが判明します）

メールの文面は下記の通りです。Amazonプライムの料金を払えていないのでクレジットカード番号を教えろとのこと。

赤のログインボタンをクリックすると、名前やカード番号を入力するサイトに誘導されます。

クリックするだけでマルウェア（ウイルスなどの悪性ソフト）を注入される恐れもありますので、クリックはしないでください。（特にブラウザやOSが最新にアップデートされていない場合やサポート切れの場合は厳禁です。）

ほぼ連日、1日1通の割合で届いています。（迷惑メールボックスに入りますが。）

メールの文面は全て同じですが、送信元とログインボタンのリンク先は全て異なっています。

以下、送信元メールアドレス（正確には@hotmail.comを付けますが省略しています）とリンク先サイト（正確には.comを付けますが省略しています）のドメイン名を列挙します。

上記サイトのIPアドレスは全て同じです。（CMANで検索可能です）

つまりこのIPは複数のドメイン名を使っていることになります。

さて、ここからはこのサイトをネタにOSINT情報を集めてみます。

まずはshodanでこのIPを検索。

サーバーの位置はアメリカ・テキサス州ダラスとなっています。

サーバーのポートやサーバーの脆弱性情報などが列挙されています。

続いてCensys。

場所はやはりダラスとなっています。あちこちクリックすると色々な情報が出てきます。

さらにnetcraft。検索窓は一番下の左にあります。

色々情報がありそうですが、詳細は省略。

maltego : 詳細は省略しますが、一例としてこのような図が得られました。

これらの情報サイトにアクセスする行為は全て、詐欺サイトに直接アクセスしている訳ではなく、これらの情報サイトを通じて、この詐欺サイトの ” 評判 ” を聞き込んでいるだけという形式になります。

つまり一般に公開されている情報を集めているだけなので、ここまでの行為は犯罪ではありません。

さて、なぜ私のメールにこのような迷惑メールが届くのか、それは過去に大規模なメールアドレスの漏洩事件が繰り返し起こっており、その漏洩したメールアドレスの中に私のメールアドレスが入っていたからです。

私は5個くらいのメールアドレスを持っていますが、迷惑メールを受け取るのはいつも、その漏洩のあった1つだけです。

自分のメールアドレスが過去に漏洩しているかどうかは、ここで調べれば分かります。

サイトの検索欄に、自分のメールアドレスを入れて検索すると、 ” Oh no ” の文字。これは過去に漏洩が起こったメールアドレスだということが分かります。

私のメールアドレスは10年以上前に、とあるクラウドサービス業者の大量メール漏洩事件が起こった結果、広く知れ渡っている、とのことがこのサイトの下の方に書かれています。

自分のメールアドレスが漏洩している場合、その漏洩サイトで使用していたパスワードもセットで流出しているので、他のサイトで同じセットを使用している場合などは早急なパスワード変更が必要です。

ownedと同義語。（キーボードの ” o ” と ” p ” は隣同士で、よく打ち間違えられる？理由でこの同義語が発生した）ネットスラングでは「誰かを負かすこと」の意味で使われます。

pwnedは、「やられた」「やられている」という意味となります。

届いたフィッシングメールを肴にしてOSINTを行ってみました。自分には深く調査する能力が無いので表面上のみの調査ですけど。もう少し勉強しなくては。