火曜日, 11月 01, 2011

【詐欺メール調査】「Warning!! Microsoft Confirm Your Email Account!!!!」⇒個人情報盗む目的の詐欺メール


バックグラウンド↓
日本国内のお客様から(企業向けのITセキュリティ管理者)の問い合わせがあり、下記のメールが届いて、K-SHIELDメールフィルターでPhisingの判断でブロックされたと↓


管理者が内用を気になり、スパムの誤検知かも知れないと思いながら本メールの内容を見てくれました。HTMLメールだけを見ても中々判断が出来ないので、テキストモードで内容を確認されました、下記の形です↓

↑よく見たら色んなあやしい点が出てきましたので、我々に調査依頼が頂いて、調査しました。

(!)結果、本メールがつい最近流行った詐欺メールです。
以下、詳細な調査説明となります。

1) ヘッター調査
メールのヘッタに書いた「From:」「Reply-To:」と「Return-Path:」が人を騙すように偽Microsoft社の「Microsoft Security」との情報を使っています、さらにYahoo!ウェブメールのメールアドレスが使われています↓
From: Microsoft Security
Reply-To: microsoft.account@ymail.com
Return-Path:

2) ソースIPとメールのルートの調査
ソースIPアドレスが「41.206.78.91」からYahoo!ウェブメールへ問い合わせして、Yahoo!ウェブメールから送信しあれたと確認が出来ました。Microsoft社の関係メールですと必ずMicrosoft社のメールサーバから投げる事となりますので…
下記は証拠となります↓
Received: from unknown (HELO nm2.bullet.mail.sp2.yahoo.com) (98.139.91.72)
by xxx.xxx.xxx.xxx with SMTP; 30 Oct 2011 23:29:29 +0900
Received: from [98.139.91.68] by nm2.bullet.mail.sp2.yahoo.com with NNFMP; 30 Oct 2011 14:29:34 -0000
Received: from [98.139.91.3] by tm8.bullet.mail.sp2.yahoo.com with NNFMP; 30 Oct 2011 14:29:33 -0000
Received: from [127.0.0.1] by omp1003.mail.sp2.yahoo.com with NNFMP; 30 Oct 2011 14:29:33 -0000
Received: from [41.206.78.91] by web190215.mail.sg3.yahoo.com via HTTP; Sun, 30 Oct 2011 22:29:28 SGT

そして41.206.78.91のを詳しく調べたらアフリカからですね↓
IP ADDRR: 41.206.78.91
ASN: 36974
NET: 41.206.64.0/19
ASName: AFNET
COUNTRY: CI
ISP/Desc: AFNET.NET / LOCAL REGISTRYAF NET INTERNET SERVICE

地図は下記となります↓

このIPアドレスは色んなブラックリストに登録されています↓

3) メール文書の調査
上記の最初の画像をご覧されたように、HTMLメールですが、画像のソースURLはGoogleサーバになります↓

↓   ↓   ↓   ↓

又はコードを見たら↓(下記のコードをクリックしたら大きく見えます↓)


本詐欺メールに張った画像をクックしたらどになるか?
下記のURLに飛ばされています↓
http://microsoft.windowslive.com/Key=54119.xxrk.C.GH.C25M1d

こんな感じでトラップがコードで発見しました↓

↑実は契約の情報のリンクだったんですが、本件の詐欺仕組みで使われてMicrosoft社にもレポートが受けましたので本件のURLがなくなりました↓


メールの文書に書かれた個人情報依頼の件ですが↓
The personal information requested are for the safety of your Account. Please FILL IN all requested information. 
Username: ............................................
Password: .............................................
Date Of Birth: .......................................
Occupation.............................................
Country Of Residence: .........................  
After you must have followed the instructions in the sheet, your! account will not be interrupted and will continue as normal.

↑上記の依頼に付いては全て完全に嘘です。個人情報を書いて返信すると個人情報がハッカーに届きます、【注意点】個人情報依頼に付いてメールで一切フォローしないで下さい。

4) 結論
上記の調査結果基づき、本件のメールは詐欺メールです。
もしブロックされたらば当然です。
万が一、もし皆さんのメールボックスに届いたら削除して下さい。


----
ゼロデイ・ジャパン
http://0day.jp
スパムモニターセンター
Sponsored by: 株式会社ケイエルジェイテック

0 件のコメント:

コメントを投稿