ページ移動
- 前のページ
- 次のページ
エントリー
カテゴリー「分類無」の検索結果は以下のとおりです。
フィッシングメール
またAmazonを騙ったフィッシングメール(詐欺メール)が来ていた
メールアドレスが知られてしまったのでメールアドレスを変更しない限り回避は困難だろう
今回はプライム会員更新の確認を餌に送られてきたが日付が異なるのと確認なしに設定したこともありおかしいと判断(文面でも怪しいの判るけど)
今後もAmazonからのメールは細心の注意を!
フィッシングメール
- 2023/04/13 19:39
- カテゴリー:分類無, Cubieboard
- タグ:詐欺メール
8日から詐欺メール(フィッシングメール)が4日間連日で送られてきていた
12日に気付き対策を実施
フィッシングメールの内容
「Amazon」と「えきねっと」を偽って送られてきている
どちらも同一メールアドレスへ4日間で2種類入っていた
(Amazon:パターン1)
(Amazon:パターン2)
(えきねっと:パターン1)
(えきねっと:パターン2)
調べてみると去年(2022年)の7~8月から問題になっているようだ
Amazonのメールでも怪しいことは判ったが,えきねっとはそもそも利用していないので速攻で判明
原因について考察
メールアドレスがどこからか漏れて知られてしまった訳だが,拙者の場合メールサーバを自身で運用しているので,迷惑メール対策し易いよう目的別にメールアドレスを設定している
今回知られてしまったメールアドレスは以下のサイトでのみ登録,他では利用していないので漏れたのは以下のサイトからの可能性が高い
- Amazon(昔の出店メーカを含む → 最近はAmazon経由で届いているので知られていないと思う)
- Vastking
- Aliexpress
- aitendo
- 千石電商
- スイッチサイエンス
- RSコンポーネンツ
- ドスパラ
- あきばお
(注)可能性が高いと思われる順にしてある
(2023.04.15追加)
13日(この記事書いた後の23時36分)に千石電商「せんごくネット通販」からメールがあり,2023.4.7に不正アクセスがあってメールアドレスが流出したとの事
とりあえず流出元が判明
対策
メールアドレスを変更するのが良いかと考えるが再登録に時間を要するので,今回は即効性を重視し「postfix」のメールフィルターで対応
送信元メールアドレス
Amazon.co.jp <support@service.cmpvs.cn>
Amazon.co.jp <support@service.qidianyou.cn>
Amazon.co.jp <wwdf@service.706821.cn>
Amazon.co.jp <support@service.agjy5.cn>
えきねっとサポートセンター <support@service.077y.cn>
えきねっとサポートセンター <qme@service.msxdnj.cn>
えきねっとサポートセンター <ljhwp@service.ghng6on.cn>
えきねっとサポートセンター <support@service.eoguqcy.cn>
/etc/postfix/main.cf に以下の行を追加
header_checks = regexp:/etc/postfix/header_checks
/etc/postfix/header_checks にフィルターを記述
/^From:.*@.*\.cn/ REJECT
チャイナドメインからは全て拒否にした
最近の例では「.ci」(コートジボワール)もあるそうだ
設定を反映
# service postfix reload
踏み台
メールのREJECTをログで確認しようと閲覧したところ,情けないことにメールサーバが踏み台にされていたことが判明(対応ミス)
connect from unknown[193.56.29.158]
connect from unknown[193.56.29.192]
connect from unknown[103.151.125.9]
至急対応するためこちらを参考にIPによる制限を設定
また上記のアドレスの接続拒否を実施
# iptables -I INPUT -s 193.56.29.158 -j DROP
# iptables -I INPUT -s 193.56.29.192 -j DROP
# iptables -I INPUT -s 103.151.125.9 -j DROP
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 103.151.125.9 anywhere
DROP all -- 193.56.29.192 anywhere
DROP all -- 193.56.29.158 anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
#
とりあえずログからは消えた
ページ移動
- 前のページ
- 次のページ
- ページ
- 1