◎6/6
件名:【楽天市場】注文内容ご確認(自動配信メール)
From:楽天市場 <order@rakuten.co.jp> (を偽装)
本文:
この度は楽天市場内のショップ「デンキヤ2ンラインショップ」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。(in English)
で始まるHTMLメール
各所のリンクからマルウェア入りzipがダウンロードされます。
リンク先の例、
IPは、
https://www.virustotal.com/#/ip-address/185.236.202.149
これは、6/6の楽天カードを騙るメールからのリンクの一方と同じです。
◎6/5
件名:重要な変更の際には本人確認
From:MyEtherWallet <support_jp@myetherwallet.com> (を偽装)
本文:
MyEtherWalletをご利用いた だきありがとうございますが 、アカウント管理チームは 最近MyEtherWalletアカウ ントの異常な操作を 検出しました。アカウ
ントを安全に保ち、盗難な どのリスクを防ぐため、ア カウント管理チームによっ てアカウントが停止されています。次の アドレスで アカウントのブ
ロックを 解除することができます。秘密鍵の認証: ttps://www.myetherwallet.com/ <URLリンク>
今後ともよろしくお願い致します。
MyEtherWallet サポートセンター
5/24の日記と同じパターン
メールソースのBASE64エンコードされた部分をデコードすると、フォントサイズ0のゴミテキスト多数。
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18702"></HEAD>
<BODY><SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">h, second from right — march in Washington, D.C., on Saturday, April 26, 2014. (Photo: Pete Marovich/Boomberg)our research is right (it’s Friday, and we’re tired, so it could be wrong), Bieber hasn’t been on a real red ンと落ちた。ブリュッセルから、オランダにある自宅への2時間半の道すがら、私は森岡とのインタビューの最後の部すごいタレントがいる。これは大切に育てなくては……」</SPAN><P>MyEtherWalletをご利用いた<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">Amber Heard isn’t letting an injury get in the way of being fabulous.of Tax Investigations in Iceland, with 800 million Icelandic krónur (roughly $8 million) worth of assets frozen. The band has now already paid back their tax debt.ick trip to her local pawn shop (run by none other than Nick Frost of Cornetto Trilogy fame) to buy back感我此言良久立,却坐促弦弦转急。凄凄不似向前声,满座重闻皆掩泣。</SPAN>
だきありがとうございますが<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">who is unable to speak (the pair opened a school for him when they couldn’t find one they liked), and Amber, an aウーバー誘致の旗を振ったペドゥート?ピッツバーグ市長も「ふたを開けてみれば、すれ違いがあった」と認めるIntroduced in the 2018 sequel, Rise of the Tomb Raider, Ana collaborated closely with Richard on his research, a relationship that soon turned personal.ックラッシュではノーDQ(反則判定なし)で3度目の挑戦チャンスを得たが、両者同時の急所蹴</SPAN>
、アカウント管理チームは<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">唯将旧物表深情,钿合金钗寄将去。钗留一股合一扇,钗擘黄金合分钿。e Bennetts and forms an immediate bond with Colt (Ashton Kutcher) and his father Beau (Sam Elliott), but Luke’s past has a way of catching up with him.uly 2016: In an interview with Rolling Stone, Young said he let Pegi Young have their home Broken Arrow Ranch inる。市教委は「いじめが深刻になる前に対応できる」とアプリを評価し、今年度はモデル校を選んで小学校でも導入する。</SPAN>
最近MyEtherWalletアカウ<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">今回の森岡亮太インタビューは、ワールドカップ(W杯)をテーマにするはずだった。事実、森岡と私のやり取りはW杯をSummer: Ten Years Later.He recently launched Armchair Expert, a podcast where he sits down with creative personalities. Shepard is repped by WME and attorney James Feldman.red on the collections are Lady Gaga, Queens of the Stone Age, and Florence and the Machine.ual identity midway through the game, and the two women then race each other to the lost Russian city of</SPAN>
ントの異常な操作を<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">相随饷田去,丁壮在南冈。足蒸暑土气,背灼炎天光。38)は、2010年以来となる本田との再会を喜んだ。gh school sweetheart, and has been seen with barbed wire across his right bicep, a large design featuring a ft’s awful! What are you doing? Lopez told Andy Cohen during the Plead the Fifth segment on Watch What Happens Live.</SPAN>
検出しました。アカウ<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">ship with Hannah around the time of their split made her family tabloid fodder. It was tough on all of us, for ELATED: Jennifer Lopez on Ex Ben Affleck’s Massive Phoenix Back Tattoo: ‘It’s Awful!’20アシストという数字を残していたら、「これだけやってるんですから代表に入れます」と言えるんでしょうけれど、そうな青年の顔を覚えています。あの時のパクさんの顔をありありと思い出せる」と振り返った。東映動画時代の思い出</SPAN>
ントを安全に保ち、盗難な<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">It’s exciting! We’re going to do the wedding this spring. I’m the best man — we’re all super stoked. It’s great, Jerry, the start of the investigation co-operated fully with the directorate, submitted all information requested by the 足の、小麦肌が印象的。笑顔やアンニュイな表情も見られる撮影メーキング映像です。中村アンが「ピーチ?ジョン」のこの子は絶対に、強くなるだろうな……」</SPAN>
どのリスクを防ぐため、ア<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">最爱湖东行不足,绿杨阴里白沙堤。田家少闲月,五月人倍忙。e aforementioned Trinity box where Richard stashed whatever information he had been able to uncover beforp was directed by Hector Dockrill and features an old-school dance party. According to a press release, the video リルホジッチ監督は、その前に解任になってしまったので。だけど、W杯で結果が出れば、解</SPAN>
カウント管理チームによっ<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">no word yet on if or when he might start working on a third season of Master of None for Netflix.の理由は、子供たちのコミュニケーションツールとしてアプリが一般的になっているためとみられ第1日(11日)のホールアウト後、韓国に帰国中にあわや玉突きの交通事故の危機に遭っていたことを告白。「私が乗っているhe new show would be told from the perspective of Clarissa’s son and/or daughter. (The same formula worked for That’s So Raven follow-up Raven’s Home.)</SPAN>
てアカウントが停止され<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">いステップを踏みながらスライドしつつ、わずかなシュートコースを逃さずに左足でゴール右端へ鋭いゴールを決めた。count of possession of a firearm, ammunition, or weapon by a delinquent, and one count of possession of cannaう明確なオーダーがありました。ハリルホジッチ監督からはどのような要求を受けましたか?in the vicinity of marijuana and a handgun during an Instagram Live broadcast. He’s facing two charges: one </SPAN>
ています。次の<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">少壮能几时?鬓发各已苍!访旧半为鬼,惊呼热中肠。 に、私が「現実的にはどうでしょうか」と聞いた。森岡が「『現実的に』とは、どういうことですか?」と答えた。ここere, we look at the tricky beginnings of their relationship — it’s not easy being tabloid fodder — and how on cue, he walks by just at that moment, and she gushes, Look how handsome he is!</SPAN>
アドレスで<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">ur heroine believes her days of merrily dodging subterranean booby traps to be over. Turns out they’re just 地元起業家ジョン?クエイル氏は「ある企業の成功が、ほかの企業も引き寄せる好循環ができた」と語る。er career resulted in that man punishing her by firing her and destroying her reputation.をファンが見たがっている」とカード決定の経緯を明かした。</SPAN>
アカウントのブロックを<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">heir other sightings were less exciting for sure. Oh, they’ve done dinner in L.A. a few times, and once Patrickthe Cowboy and Indian Alliance, and protest the Keystone XL pipeline.they have managed to stick together approaching four years later.phoenix rising from the ashes. Am I the ashes in this scenario? I take umbrage, she said. I refuse to be the ashes.</SPAN>
解除することができます。</P><SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">アプリを導入る際、生徒がより理解しやすいよういじめ対策の授業も行っており、授業で使う動画などの教材は、同大や柏市教委などが産学官で連携して開発したものだ。Still, Shepard, who is expected to appear in roughly half of the 10 episodes I hear, would likely help fill the void left 千秋万岁名,寂寞身后事。清江一曲抱村流,长夏江村事事幽。自去自来堂上燕,相亲相近水中鸥。g Icelandic papers Fréttablaeie and Morgunblaeie. The investigation reportedly followed an inquiry from the Directorate</SPAN>
<SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">自分を破ったばかりの奈良が優勝カップを掲げる姿を、大粒の涙を流して見上げていた。metimes I feel like I can actually, like, really have a conversation with someone a bit more on Twitter. And somKitezh to find the Divine Source, a doodad that is rumored to let its owner live forever. Not surprisinglyI didn’t propose because it wasn’t realistic, he said. We hadn’t even had our first fight yet!</SPAN><P>秘密鍵の認証: <A
href="ttp://www.myetherwalletr.org/">ttps://www.myetherwallet.com/</A></P><SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">がるようになったレフティーを、西野監督も放ってはおかなかった63)は31日に最後の“サバイバルマッチ”を計画ieber wasn’t the only one who showed up for Patrick, who also tells us that just because he’s doing a drama doち合いでは、攻めるべき局面を見極めつつ、ラリーを組み立てる「ゲーム力」もある。was seen driving Bieber’s G-Wagon. And yes, they’ve popped up on each other’s social too. Bieber once capture</SPAN><P><BR>今後ともよろしくお願い致します。<BR>MyEtherWallet サポートセンター</P><SPAN
style="LINE-HEIGHT: normal; FONT-FAMILY: q; FONT-SIZE: 0px; font-stretch: normal">pire against Mathias as they navigate the dangers of Himiko’s tomb, a journey that only the younger Croft ultimately survives.大粒の雨となった最終日。谷口徹と藤本佳則が通算6アンダーで並び、プレーオフに突入。谷口が2ホール目でバーディを奪い、藤本を振り切って涙の優勝を遂げた。几处早莺争暖树,谁家新燕啄春泥。乱花渐欲迷人眼,浅草才能没马蹄。t turns out Clarissa still has some explaining to do.</SPAN>
</BODY></HTML>
6/5の夕方は、本物と酷似した偽サイトが表示されました。
◎6/5
件名:Re: 2018.5月分請求データ送付の件.6月請求データ.xls
本文:
いつもお世話になります
2018.6月分請求データ送付します
ご査収の程よろしくお願いいたします
健二
添付ファイル:数字5桁-6月請求データ.xls
◎6/5
件名:RE: 請求書XLSについて
本文:
黒岩 様
納品書、請求書画像お送りします
ご確認ください
☆:::☆:::☆:::☆:::☆:::☆:::☆
添付ファイル:数字4桁_サービス㈱様(請求書).xls
◎6/4
件名:【重要】KDDI株式会社から緊急のご連絡
From:KDDI株式会社 <auto@connect.auone.jp> (を偽装)
本文:
【重要】KDDI株式会社から緊急のご連絡
ttps://www.au.com/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※このメールは株式会社KDDIをご利用いただく際の重要な情報を記載しております
ので大切に保存いただきますようお願いいたします。
※このメールは、ご登録のメールアドレス宛に自動的に送信されています。
─────────────────────────────────
日頃は株式会社KDDIをご利用いただき、まことにありがとうございます。
この度、お客様のキャリア決済がApple IDに不正利用され、お客様のご契約内容が第三者のauかんたん決済に変更された可能性がございます。
セキュリティ保護や今後の対策と致しまして、下記のURLより株式会社KDDIホームページにログインし、Appleから送られてくる「4桁」のセキュリティコードを入力し、
お客様の契約内容を確認の上、解除手続きをお願いいたします。
■解除設定ページ
ttps://www.au.com/ <URLリンク>
※ユーザIDは第三者に知られないようメールアドレス以外のものに
ご変更ください。
※一般的に、パスワードは8文字以上のものについては第三者に推測され
にくいと言われています。できるかぎり複雑なものを設定してください。
【悪いパスワードの例】
生年月日や氏名を含むもの
0000などの連番を含むもの
※複数のサイトでなりすましの利用がされないよう、パスワードは他の
サイトとは異なる推測しづらいものを設定のうえ、定期的に変更を
おこなってください。
具体的な手順は以下のページをご確認ください。
■ヘルプページ
ttps://www.au.com/support/inquiry/?bid=we-we-gn-1008
■会員情報の管理トップ
ttps://www.au.com/ <URLリンク>
─────────────────────────────────
※弊社からのログイン情報の漏えいは確認されておりません。
※ご利用の端末にてフィッシング等の被害にあった場合に、パスワード等の
情報を盗み取られる可能性がございます。
─────────────────────────────────
当社の個人情報の取扱いについては「個人情報保護方針」をご覧ください。
ttps://www.au.com/my-au/terms/?bid=we-we-ft-0017
本メールは送信専用です。ご返信いただきましても回答はいたしかねます。
ご不明な点がございましたら「ヘルプページ」をご参照ください。
ttp://www.kddi.com/corporate/?bid=we-we-ft-0004
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
au携帯アドレス(xxxx@ezweb.ne.jp)に届いたau偽装のメール
BASE64エンコードした text/planeとtext/htmlをmultipart/alternativeで併記しています。
BASE64エンコードでメールソースを見てもすぐにはわかりません。
certutil -decodeでデコードしてみると、text/planeパートは、
【重要】KDDI株式会社から緊急のご連絡
ttps://www.au.com/(中略)
■解除設定ページ
ttps://www.au.com/
対応するtext/htmlパートは、
<P>【重要】KDDI株式会社から緊急のご連絡<BR><A
href="ttp://www.au-security.com/">ttps://www.au.com/</A><BR>(中略)
<P><BR>■解除設定ページ<BR><A
href="ttp://www.au-security.com/">ttps://www.au.com/</A></P>
HTML表示をしたとき(=携帯で普通に見た時は、正規サイトを表示しつつ偽サイトに誘導)、テキスト表示では正規サイトしか表示されず、メールソースもBASE64エンコードという凝ったつくりです。
偽サイトは、
当初はauを名乗って電話番号を入力させる画面が出ていましたが、今は閉鎖されているようです。
◎6/2
件名:アラート:あなたのアカウントは閉鎖されます。
From:Apple <noreply@email.apple.com> (を偽装)
本文:
Appleをご利用いただきありがとうございますが、アカウント管理チームは最近Appleアカウントの異常な操作を検出しました。アカウントを安全に保ち、盗難などのリスクを防ぐため、アカウント管理チームによってアカウントが停止されています。
注:24時間以内にあなたの情報を更新しない場合、アマゾンアカウントで何ができるか的を絞ってください。
リカバリアカウント <URLリンク>
なぜこのメールを受け取ったのだろうか?
この電子メールは、定期的なセキュリティチェック中に自動的に送信されました。当社はお客様のアカウント情報に完全に満足しておらず、引き続きサービスを継続的にこ利用いただくためにアカウントを更新する必要があります。
今後ともよろしくお願い致します。
Apple サポートセンター
Apple ID | サポート | プライバシーポリシー
Copyright � 2017 Apple Distribution International, Hollyhill Industrial Estate, Hollyhill, Cork, Ireland. すべての権利を保有しております。
というテキスト風HTMLメール
リンク先は、
IPは、
https://www.virustotal.com/#/ip-address/188.225.35.252
appleを模したサイトでアカウント情報を盗むフィッシングサイトです。
◎5/31(架空請求)
From:FIRSTNAME LASTNAME <alert@dealspiece.com>
件名:Tickеt#数字9桁: [Toアドレス] 31-05-2018 02:17:35
本文:
Hello...
Dont regard on my illiteracy, Im from India.I installed the malware on your OS.Since that moment I pilfered all personal information from your system. Withal I received slightly more then just data.The most amusing compromising that I stole- its a video with your masturbation.I put malware on a porn page and after you downloaded it. As soon as you decided with the video and clicked on a play button, my malicious software at once downloaded on your Operating System.
After loading, your camera made the video with you wanking, moreover it captured exactly the porn video you watched. In next week my malicious software collected all your social media and email contacts.
If you desire to delete the videotape- send me 560 euro in BTC(cryptocurrency).
It is my Btc wallet address - 1PwKwdeJVTnrNCWp3y1vzALxywdct5398RYou have 24 h. since now. If I get transaction I will destroy the evidence in perpetuity. Otherwise I will send the record to all your contacts.
Receivedヘッダの最初:
Received: from dealspiece.com (host-94-103-81-37.hosted-by-vdsina.ru [94.103.81.37])
ロシアから
本文の別例:
Good morning...
Do not consider on my illiteracy, I am from Japan.We installed mine malware onto your device.Now I pilfered all individual information from your system. Additionally I received some more evidence.The most entertaining compromising that I have- its a videotape with your self-abusing.I adjusted malware on a porn page and after you installed it. The moment you selected the video and pressed play, my deleterious soft at once loaded on your system.
After adjusting, your camera shoot the videotape with you wanking, in addition I saved the porn video you masturbated on. In next week my deleterious soft grabbed all your social and work contacts.
If you wish to destroy the videotape- send me 350 united state dollar in Bitcoins.
Its my Btc wallet address - 12Xa9tXedfUMTLVo9T9a9nyZ2KqQhPBNF9You have 20 hours from this moment. When I see transfer I will erase the compromising forever. Differently I will forward the record to all your contacts.
こちらのReceived:ヘッダの最初も同じで、ロシアから。
Received: from dealspiece.com (host-94-103-81-37.hosted-by-vdsina.ru [94.103.81.37])
