DQ10の精巧な偽装 フィッシングメールについて突っ込み

件名
 スクウェア・エニックスアカウントーー安全確認
送信者


DQ10 <renshengyu2001@yahoo.com.cn>
宛先
日時
2013年07月22日 22:39:34

Return-Path: <renshengyu2001@yahoo.com.cn>
Received: (qmail 32753 invoked from network); 22 Jul 2013 22:39:53 +0900
Received: from [106.10.166.120] by nm35.bullet.mail.sg3.yahoo.com with NNFMP; 22 Jul 2013 13:39:51 -0000
Received: from [106.10.167.176] by tm9.bullet.mail.sg3.yahoo.com with NNFMP; 22 Jul 2013 13:39:51 -0000
Received: from [127.0.0.1] by smtp149.mail.sg3.yahoo.com with NNFMP; 22 Jul 2013 13:39:51 -0000
X-Goo-Countries: sg:Singapore
Dkim-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com.cn;
s=s1024; t=1374500391; bh=c2YiJ1EMdgq6EsnQo7Y176Gi1LhUEJW1LJLKY/UGPL8=;
h=X-Yahoo-Newman-Id:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:X-Rocket-Received:Message-ID:From:To:Subject:Date:MIME-Version:Content-Type:Content-Transfer-Encoding:X-Priority:X-MSMail-Priority:X-Mailer:X-MimeOLE;
b=V0bqHEIfOd/aJs8R8Fc1Sv9NHYmSP2y5jD9H7Kf5A44+kPzOctsHKseSjQX5mCe7kQI65IQX/mEipM2v1XDHs0y8VlCdU+2K3tsraKOSPSr5MO2skyUcdQ/ndJ56GpvakkWMpxBoYiwJuNCwwOzukuQxuyJXzWEliM4rWxLEKQ0=
X-Yahoo-Newman-Id: 685416.55091.bm@smtp149.mail.sg3.yahoo.com
X-Yahoo-Newman-Property: ymail-3
X-Ymail-Osg: bqXptOoVM1lXbZbR1FANNqcB4z0xCpNec2W6jqv.wjmZbim
6ZH4GGSmUvPpybQZ7O4vu2KCeQusUGIjO6uJKOgknLmkecDPLXTA2vXhuxuo
3.wZmMlT.SNOZpk8S5twaEZCYvAXmJNrWKD66KFJ6uxdD7rJTqE84xr3Gn1f
jlN4jmO1PJT9eQ7IDaw6L2O2eu7e2k8qv4F6CrEFBTFoadfgUsb8lBGSBrk3
1mgX_KRE_sOXhyZlgG1qqLze.bR.nKijSZYO5ZiN1lcABhKMyje7u6.EHFJJ
vaItn6T.ke7yHRJMIsD9wHxklZyRh3UbJQynvhYOs7H5gbjRCRY0js509YTa
qf.a5W2cuAw8bdVLEprPUx5a7oewQ9uaV4xj_OfOWVeqEiWw8t.Q4PVWZH2K
WD_Lhol3IR4QKK95rJZxZ_whbNxB0_uwBD_UYILFIOJP.VuDH6.1DmTc2FPZ
MvkuA8_E1mHfXKROZ2d93X3eFubfyrnorfAdpMZ1yilnqpKyJVd1KLHLTz8j
eOlLITGhsgBlDHw8Rqqf5fBA5LnjNahWwI1wNMTqrbnh2ERCpK5SxEH17ZVH
sLhe8FTODFa5aWcT5KbxFly8Ck6b3IUGMvwPdI33yIeo1vvfJignvKIQeioM
fzL6qmGy4kReY2YMQ1GcZx4tYv1QcX_yxp617klqkiSX42mNTx1PR4YjiEr6
Kml5.zDn27ZDm4YuUYJXIE6ClEaAavqblB8Oks8FLtvrVU8xhriGcbAutPHL
RWTRQpUMqHU_1FQ--
X-Yahoo-Smtp: ..uP4YuswBAEAjXFMrsBicEZB7SD_g_bhXQV
X-Rocket-Received: from bhyqnqup (renshengyu2001@175.174.118.94 with )
by smtp149.mail.sg3.yahoo.com with SMTP; 22 Jul 2013 06:39:51
-0700 PDT
From: "DQ10" <renshengyu2001@yahoo.com.cn>
Date: Mon, 22 Jul 2013 21:39:34 +0800
Mime-Version: 1.0
X-Priority: 3
X-Msmail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-Mimeole: Produced By Microsoft MimeOLE V6.00.2900.5512
Message-Id: <812F9F4615EA375A88B6280CCD25E9BF@bhyqnqup>
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
Subject: =?utf-8?B?44K544Kv44Km44Kn44Kiwrfjgqjjg4vjg4Pjgq/jgrnjgqLjgqvjgqbjg7Pjg4jjg7zjg7zlronlhag=?= =?utf-8?B?56K66KqN?=
X-Anti-Virus: Kaspersky Anti-Virus for Linux Mail Server 5.6.49/RELEASE, bases: 20130722 #10652860, check: 20130722 clean
X-Gmt-Sender-Operator: internet

お客様
 
株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。
ログイン地点 ログインIP ログイン時間 
大阪 61.204.255.255 2013-07-20 02:06

ご本人によるログインでなければ、アカウントの安全に問題があると考えられます。 
以下のURLをクリックし、画面の案内にそってパスワードの再設定を行ってアカウントを保護してください。
https://secure.square-enix.com/account/app/svc/Login?cont=account

(上記URLをクリックしてもページが開かないときはURLをコピーし、ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください) 

もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。
ご意見やご要望
スクウェア・エニックス会社
2013年07月21日

偽装メールレベル1、アドレスクリックすると http://secure.square-enix.com.uuok.asia/ に飛ばされる
でも、メールアドレスが違うから一目でわかるという
Microsoft Outlook Express 6 SP3からyahoo中国のアカウントで送ってるのが分かる。

プロバイダを調べると cnc-noc.net

件名 [スクエニ メンバーズ]パスワード再設定手続きのご案内
送信者


メンバーズ事務局 <autoinfo_jp@account.square-enix.com>
日時
2008年01月14日 05:15:22

Return-Path: <mqf@rvuhuzvw.org>
Received-Spf: none
X-Goo-Spam: black
X-Cmae-Analysis: v=2.0 cv=Ps9NmXw3 c=1 sm=1 p=mQdY1vdKAAAA:8
a=n+t2CYP5wsFAi2+JttIexQ==:17 a=EBK4QGGEDB4A:10 a=grIJwpTbNN4A:10
a=jPJDawAOAc8A:10 a=IkcTkHD0fZMA:10 a=5G4ZcoZEAAAA:8 a=j4aDyAETAAAA:8
a=s-wpwgvYpvQA:10 a=8LDNBGFL98v3k-sjjG4A:9 a=QEXdDO2ut3YA:10
a=_W_S_7VecoQA:10 a=o1wodiiq3KkA:10 a=W0v8j6zjiZIA:10 a=NpOfH3mKLEoA:10
a=n+t2CYP5wsFAi2+JttIexQ==:117
X-Goo-Countries: cn:China
From: =?utf-8?B?44Oh44Oz44OQ44O844K65LqL5YuZ5bGA?= <autoinfo_jp@account.square-enix.com>
Date: Mon, 14 Jan 2008 04:15:22 +0800
Mime-Version: 1.0
X-Priority: 3
X-Msmail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-Mimeole: Produced By Microsoft MimeOLE V6.00.2900.5512
Message-Id: <34AE435A037B89B21332C672F6D1D097@rvuhuzvw.org>
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
Subject:
=?utf-8?B?W+OCueOCr+OCqOODiyDjg6Hjg7Pjg5Djg7zjgrpd44OR44K544Ov44O844OJ5YaN6Kit5a6a?=
=?utf-8?B?5omL57aa44GN44Gu44GU5qGI5YaF?=
X-Anti-Virus: Kaspersky Anti-Virus for Linux Mail Server 5.6.49/RELEASE, bases: 20130719 #10634354, check: 20130719 clean
X-Gmt-Sender-Operator: internet

◆既に報道されておりますが、オンラインサービスを提供している他社において
数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により 流失したとの情報を確認いたしました。

◆本人確認のための認証メールを送信いたします。 メールを受信して、記載されているURLをクリックしてください。 :
 
https://secure.square-enix.com/account/app/svc/Login?cont=account

偽装メールレベル2

文面がちょっと違うメール。
こちらはとび先が http://secure.square-enix.com.account.enix.pw/
フォルダ構成も違うのでさらに別人のようだ
メールアドレスが偽装できてるように見えるけど、
Return-Path: <mqf@rvuhuzvw.org> となっていて偽装できてない

件名
スクウェア エニックス アカウント管理システム
送信者


DQ10 <autoinfo_jp@account.square-enix.com>
日時
2013年07月22日 11:00:56

Return-Path: <autoinfo_jp@account.square-enix.com>
3Dwp1m01B5Cvmrg01DwqdV; Mon, 22 Jul 2013
10:56:52 +0900
Received-Spf: permerror
X-Goo-Spam: black
X-Cmae-Analysis: v=2.0 cv=cKc+RCiN c=1 sm=1 p=v44bX7UWe4YTrxp8:21
a=sRShQpP5xqYGiEWu/YMtlw==:17 a=grIJwpTbNN4A:10 a=jPJDawAOAc8A:10
a=_l4uJm6h9gAA:10 a=5G4ZcoZEAAAA:8 a=4DyPPDBW4QYA:10 a=pH5dlj2UAAAA:8
a=J3Y-sOk7ncYgjeF3uloA:9 a=mFyHDrcPJccA:10 a=_W_S_7VecoQA:10
a=tXsnliwV7b4A:10 a=nkhQinw7XV8A:10 a=sRShQpP5xqYGiEWu/YMtlw==:117
X-Goo-Countries: cn:China
From: "DQ10" <autoinfo_jp@account.square-enix.com>
Date: Mon, 22 Jul 2013 10:00:56 +0800
X-Priority: 3
X-Mailer: Foxmail 4.1 [cn]
Content-Type: text/html;charset="GB2312"
Content-Transfer-Encoding: 8bit
Subject: =?GB2312?B?pbmlr6Wmpaeloj+lqKXLpcOlr6W5IKWipaulpqXzpci53MDtpbeluaXGpeA=?=
X-Anti-Virus: Kaspersky Anti-Virus for Linux Mail Server 5.6.49/RELEASE, bases: 20130722 #10652082, check: 20130722 clean
X-Gmt-Sender-Operator: internet

お客様
 
株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願いします。
ログイン地点 ログインIP ログイン時間 
大阪 61.204.255.255 2013-07-20 02:06

ご本人によるログインでなければ、アカウントの安全に問題があると考えられます。 
以下のURLをクリックし、画面の案内にそってパスワードの再設定を行ってアカウントを保護してください。
https://secure.square-enix.com/account/app/svc/Login?cont=account

(上記URLをクリックしてもページが開かないときはURLをコピーし、ご利用のウェブブラウザーのアドレス入力欄に貼り付けてお試しください) 

もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。
ご意見やご要望
スクウェア・エニックス会社
2013年07月22日

偽装メールレベル3

こちらは最初のメールに文面は似てるけど、とび先がちょっと違う http://secure.square-enix.com.ttwow.asia
こちらは、送信アドレスも偽装している。文面はパクッテるようだ(詐欺集団で定型文があるんだろうか?)

メールソフトを見るとFoxmail 4.1中国版になっている 不正侵入のIPアドレスが x.x.255.255 になっててありえないのが笑える・ω・
XX.XX.255.255 だと、(ローカル)ブロードキャストアドレスという特殊なアドレスになる

よく見ると中国語簡体が使われてるので、日本人じゃないのが分かる「营团」ってのを繁体にしたら「營團」だったので、おそらく「営団」

旧エニックス(現スクウェア・エニックス)の前身は「株式会社営団社システム」 | レトロゲーム大図鑑
何故か、エニックスの前身の会社の名前!?

送信サーバーまで偽装してるけど、IPアドレスを調べるとどこだかわかる

inetnum:        60.16.0.0 - 60.23.255.255
netname:        UNICOM-LN
country:        CN
descr:          China Unicom Liaoning province network
descr:          China Unicom
admin-c:        CH1302-AP
tech-c:         GZ84-AP
status:         ALLOCATED PORTABLE
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CNCGROUP-LN
mnt-routes:     MAINT-CNCGROUP-RR
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:        This object can only be updated by APNIC hostmasters.
remarks:        To update this object, please contact APNIC
remarks:        hostmasters and include your organisation's account
remarks:        name in the subject line.
remarks:        -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:        hm-changed@apnic.net 20040416
changed:        hm-changed@apnic.net 20060124
changed:        hm-changed@apnic.net 20090508
source:         APNIC
route:          60.16.0.0/13
descr:          CNC Group CHINA169 Liaoning Province Network
country:        CN
origin:         AS4837
mnt-by:         MAINT-CNCGROUP-RR
changed:        abuse@cnc-noc.net 20060118
source:         APNIC

北京联通宽带邮箱系统

2番目と同じ、中国のフリーメールですね

騙されないように、メールヘッダを確認しよう・ω・
とりあえず、 [cn] の文字列があったら危険

おすすめ

2件のフィードバック

  1. 名無し より:
    2013年7月23日 9:26 PM

    スクエニの公式サイトでも、注意喚起してますね。
    【重要】フィッシング詐欺サイトへ誘導するメールにご注意ください
    http://www.jp.square-enix.com/info/130708_phishing.html

    返信
  2. 名無し より:
    2013年7月23日 9:26 PM

    スクエニの公式サイトでも、注意喚起してますね。
    【重要】フィッシング詐欺サイトへ誘導するメールにご注意ください
    http://www.jp.square-enix.com/info/130708_phishing.html

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です