MuramatsuGroupKiller spam Library

迷惑メールを色々調べます

支援詐欺:「大川カズノリと申します」<ookawa-net@softbaoku.jp>

今回は「大川カズノリ」の迷惑メールを調べます。

まずは、突っ込むのもバカバカしくなる本文ですが、晒しておきます。

大川カズノリです。
毎月80万程度を半年~2年継続で受け取って頂きたいです。
500万~2000万を無償で受け取って下さい。
現在私の会社は、国税局からの圧力でこのままでは大きく税金を取られ、会社が傾いてしまいます。社員の生活も背負っている身分ですので、なんとかしないとと思っている次第です。
そしてこの状況を回避するにはどなたかに役員登録をしてもらい、月々80万程度程度を役員報酬として受け取って頂く、という方法がベストなんです。
誰かに毎月80万程度お支払いした方が会社としてはお得だなんて、おかしな話だとは思いませんか?しかしこれが現状の日本の税金システムなんです。
無論貴方にデメリットは一つもありません!!
あるとすれば、金銭感覚がおかしくなってしまうかもしれない、というただ一点のみです。
違法性や犯罪性も0です。もちろん脱税幇助などにもあたりません。正式な手続きの下、貴方に80万程度毎月振り込まれるわけですから。
ここまでお話し、信用して頂けませんか?不安などあればなんでもお答えします。まず一度ご連絡頂けませんか?
一度こちらまで≪詳細希望≫とご連絡頂ければと思います。

 

本文のパターンは毎回微妙に変更されています。ステップメール機能を使って順次送信しているんでしょう。
何故今回これを取り上げたかというと、「紛争解決仲裁センター 担当藤田」と同じように、返信すると数回に分けて個人情報・銀行口座情報を聞いてくることがわかったからです。
恐らく同じ詐欺グループだと思われます。

メールヘッダからサーバー情報を抜粋して晒します。

[SPF]
Received-SPF: pass (yoxqewv.ijagdad7.net: domain of return-xxxxxxxx@softbaoku.jp designates 113.212.140.11 as permitted sender) receiver=yoxqewv.ijagdad7.net; client-ip=113.212.140.11; envelope-from=return-xxxxxxxx@softbaoku.jp;

[DKIM]
Authentication-Results: xxxxxxxx  from=softbaoku.jp; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@softbaoku.jp

[Received]
Received: from 113.212.140.11  (EHLO yoxqewv.ijagdad7.net) (113.212.140.11)

Received: from oxkogfyjiy (semmfoe.ijagdad7.net [113.212.140.3]) by ofjcpmr.ijagdad7.net (Postfix) with ESMTP

Received: from localhost (unknown [103.212.221.8]) by vdlxejzyec (Postfix) with ESMTP


送信元IPは103.212.221.8になっています。まずはこれを調べてみます。
103.212.221.0/24は韓国のネットワークですが、Robtexはなにやら言ってますね。

network 103.212.221.0/24 ehostIDC - Robtex

"The network is announced but not registered by AS4766 and registered but not announced by AS45382. "

AS4766がアナウンスしているが登録していない、AS45382が登録している、ということでしょうか。
AS4766はKorea Telecom、AS45382はEHOSTIDCです。EHOSTIDCのIPv4peerにYahoo!JAPANがいますね。

http://bgp.he.net/AS4694#_peers


日本に近いネットワーク、という認識で良いんでしょうか。

とにかくネットワークの割当を受けているのは、NeoSilkRoadなる組織ですが、表立って情報はありません。
Whois情報を晒しておきます。

role:           neoSilkRoad administrator
address:        Gasan Digital 2-ro 98, Geumchon-gu, Seoul, Korea, Seoul  08506
country:        KR
phone:          +821036090478
fax-no:         +82264992262
e-mail:         neosilkroad1509@gmail.com
admin-c:        NA568-AP
tech-c:         NA568-AP
nic-hdl:        NA568-AP
mnt-by:         MAINT-NEOSILKROAD-KR
changed:        hm-changed@apnic.net 20160331
source:         APNIC



メールアドレスがgmailの時点で、詐欺師とグルではないかと疑いますね。


次に転送をかけているように見えるサーバーですが、133.212.140.0/24の範囲で毎回変わるようです。
こちらはACE iDCです。

http://bgp.he.net/AS56291

※リンク間違えてました、訂正しました。


何年も前にMuramatsuGroupの一派が大規模な迷惑メール送信サーバーをACE iDCに構築したようですが、どうやら未だ健在のようです。
過去何回もACE iDCに苦情を送りましたが、「我々は法律違反はしていない、文句なら直接送信者に言え」というスタンスです。
犯罪者にネットワークリソースを割り当てているという認識は絶対にあるはずです。

一ヶ月でひとつのメールアドレスに対し約400通もの迷惑メールが送信されている事実、知らないとは思えません。
下記、HE BGPtoolkitを見れば解ると思いますが、意味のない英数字の羅列が逆引きドメインとして大量に設定されています。
迷惑メールを送信するためのものとしか考えられません。

http://bgp.he.net/net/113.212.128.0/19#_dns


こういった反社会的な組織の情報はどんどん晒していきます。

会社名 株式会社エース
設立 2008年5月2日
資本金 9600万円
役員 代表取締役社長 山下雅史
所在地 本店 東京都中央区新川1-28-38 東京ダイヤビルディング
電話番号 03-6447-0487
メールアドレス(abuse) abuse@ace-idc.com
営業時間 10:00〜18:30
顧問弁護士 卓照綜合法律事務所
取引先銀行 三菱東京UFJ銀行 北國銀行
ホームページ http://ace-idc.com/


おや、社長は笹川能孝から変わったんですか。そうですか。


SPFレコードも晒しておきます。

0:softbaoku.jp [IP:23.22.70.29 / origin:AS16509]
  SOAレコード:
    ゾーン名:softbaoku.jp [IP:23.22.70.29 / origin:AS16509]
    プライマリDNSサーバー:01.dnsv.jp [IP:157.7.32.53]

  NSレコード:(softbaoku.jp)
    DNSサーバー1:02.dnsv.jp [IP:157.7.33.53]
    DNSサーバー2:01.dnsv.jp [IP:157.7.32.53]
    DNSサーバー3:03.dnsv.jp [IP:157.7.32.35]
    DNSサーバー4:04.dnsv.jp [IP:157.7.33.35]

  a機構:

  include機構:

  ip4機構:
    13.0.0.0/8
    52.0.0.0/8
    54.0.0.0/8
    185.50.248.0/18
    113.212.140.0/14
    144.172.88.0/16 [ origin: AS53667 AS64235]
    196.54.10.0/24
    196.54.37.0/24
    162.251.1.0/24 [ origin: AS46841]
    196.54.65.0/24

 

113.212.140.0/14で設定されていますが、/24の間違いじゃないですかね。

(ACE iDCが持ってるのは、113.212.128.0/19)


Softbankと勘違いすることを狙ったであろう softbaoku.jp ドメインIPアドレス23.22.70.29に割り当てられています。

これはAmazonAWSなんですが、直接23.22.70.29にHTTPアクセスをかけてみると、webpage08.comにリダイレクトされます。
「webpage/ウェブページ」という詐欺サイトなんですが、まだ存在しています。

IPアドレスは103.212.221.8、迷惑メール送信元と一致します。

サイトを構築したところで、すぐに情報は晒されるし維持管理も大変、もうメールだけで騙そうというのが、この詐欺グループの手法のようです。


Outlookで仕分けする場合、とりあえずメールサーバーの
113.212.140.
で設定して下さい。

↓具体的な設定方法はこちら。

muramatsugroupkiller.hatenablog.com

偽告訴詐欺:紛争解決仲裁センター 担当藤田 その2

2017/06/04 更新

 

まだこのアホ詐欺師の脅迫メールが届いてますが、どうやら送信経路を変えたようです。
メールヘッダからサーバー情報を抜粋して晒します。

 

Received-SPF: pass (re27.leadw.link: domain of bounce-********@location7.win designates 114.113.195.53 as permitted sender) receiver=re27.leadw.link; client-ip=114.113.195.53; envelope-from=bounce-********@location7.win;
Authentication-Results: ********  from=location7.win; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@location7.win
Received: from 114.113.195.53  (EHLO re27.leadw.link) (114.113.195.53)
Received: from location7.win (static-ip.144.54.244.103.rev.i4hk.com [103.244.54.144]) by re27.leadw.link (Postfix) with ESMTP



送信元のIPアドレス 103.244.54.137 が 103.244.54.144 へと変更されています。

確認できたドメインを晒します。打ち消し線は103.244.54.144の割当から既に外されているドメインです。

判明しているメールアドレスのドメイン(@より後ろ)

noinggo44.xyz dairi1111.xyz suhosho.xyz authoranz.xyz
conglation111.xyz hufg4.xyz dadadd.club doingdodo.win
location7.win underg1.xyz kwruhb44.club


転送サーバーは 114.113.195.0/24 のままですね。
Outlookでの仕分け設定は以前と同じ、 114.113.195.  を指定してみて下さい。

さて、迷惑メール本文の脅迫内容ですが、冒頭の電子署名云々の文言がまた変わりましたね。

何度も書きますが、このアホ詐欺師の迷惑メールに電子署名は付いていません。

ニセの証明書すら付いてません。法的証拠能力とやらは皆無です。書くまでもありませんが。

 

で、この詐欺師に数回返事を送ってみたんですが、レスポンスが相当悪いです。

返信内容は「個人情報を送れ」なんですが、数回に渡って少しづつ聞いてきます。

面倒くさくなったので途中で放置したんですが、生真面目に個人情報を曝け出す「被害者」を選別しているように思えます。

 

また、金銭被害に合わなかったとしても、個人情報を教えてしまった人は注意してください。

 

詐欺師がその情報を元に少額訴訟を起こしてくる事例があるようです。

もちろん犯罪者ですから実際の裁判には出てこないようですが、被害者が泣き寝入りするのを狙っているんでしょうか。

 

ただ、私がそれよりも怖いと思っているのは、収集された銀行口座情報がフィッシング詐欺に利用される可能性です。

フィッシング詐欺の手口はかなり巧妙になってきています。

私が銀行口座情報を教えてしまったとしたら、即座に口座を変えますね。

 

フィッシング詐欺、特に銀行を騙るものに関しては、それこそ電子署名の確認で未然に被害を防ぐことが肝心です。

銀行からのメールで直接口座等の情報に関連するものは、必ず電子署名が付いているはずです。

電子署名が正当なものかどうか確認してください。確認方法は各銀行のホームページにあるはずです。

 

支援詐欺サイト:Grapes 調査中

今日は調査途中で時間切れです・・・。
中途半端ですが、わかったことを少々書いておきます。

「紛争解決仲裁センター 担当藤田」にメールを送ったんですが、そうすると「Grapes」というサイトから支援詐欺の迷惑メールが立て続けに送られてくるように成りました。

支援詐欺と告訴詐欺、同じ連中がやってることがこれでまたひとつハッキリしました。

ところで、送られてきた迷惑メールに返信せず、全然違うメールアドレスからメールを送ってみたんですが、連中まったく気付いていません。

メールアドレスの照合すらやってないアホどもです。

嘘だと思う方は是非適当なメールアドレスを取得の上、試してみて下さい。
いかに知能の低い詐欺師か、お分かり頂けるでしょう。

さて、「Grapes」なんですがサイトのIP/ドメインは複数存在し、タイトルが違ってたりとおかしなことになってます。

 

メールの方は、メールヘッダを見る限りではおかしな経路を通っています。
メールヘッダは偽装可能なので全ては信用できませんが・・・。
ですが、SPF認証は通っているので直前のサーバー情報は信用できると思います。

Received-SPF: pass (1eozx68.igg: domain of ********@k7mbxzync8.biz designates 45.118.43.188 as permitted sender) receiver=1eozx68.igg; client-ip=45.118.43.188; envelope-from=********@k7mbxzync8.biz;

Authentication-Results: ********  from=k7mbxzync8.biz; domainkeys=neutral (no sig); dkim=permerror (no key); header.i=@k7mbxzync8.biz

Received: from 45.118.43.188  (EHLO 1eozx68.igg) (45.118.43.188)

Received: by f44cunt.uqc (Postfix, from userid 1002)

Received: from ffd8v07.rhk1avv4 (red2kj1xq.bhfteh [10.252.19.40])
    by n0z4pr1y.s4iftxft5 (Postfix) with ESMTP

Received: from frs001.localhost (unknown [103.243.242.199])
    by f44cunt.uqc (Postfix) with ESMTP

Received: by frs001.localhost (Postfix, from userid 1002)

Received: from localhost (unknown [10.88.4.115])
    by localhost (Postfix) with ESMTP

Received: from t2GQ7.CFNbq3Ef.911 (unknown [103.224.57.35])
    by frs001.localhost (Postfix) with ESMTP



で、SPFレコードがかなり複雑なものとなってます。
このパターン、久々に見た気がします。

この情報を元にもう少し調べたいと思います。

0:k7mbxzync8.biz [IP:103.224.57.35]
  SOAレコード:
    ゾーン名:k7mbxzync8.biz [IP:103.224.57.35]
    プライマリーDNSサーバ:01.dnsv.jp [IP:157.7.32.53]

  NSレコード:(k7mbxzync8.biz)
    DNSサーバー1:01.dnsv.jp [IP:157.7.32.53]
    DNSサーバー2:02.dnsv.jp [IP:157.7.33.53]
    DNSサーバー3:03.dnsv.jp [IP:157.7.32.35]
    DNSサーバー4:04.dnsv.jp [IP:157.7.33.35]

  a機構:

  include機構:
    spf-giv.burn-oxygen.com

  ip4機構:
    103.227.8.0/24

1:spf-giv.burn-oxygen.com [IP: - ]
  SOAレコード:
    ゾーン名:burn-oxygen.com [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(burn-oxygen.com)
    DNSサーバー1:ns2.dns.ne.jp [IP:210.224.172.13]
    DNSサーバー2:ns1.dns.ne.jp [IP:61.211.236.1]

  a機構:

  include機構:
    spf-giv001.burn-oxygen.com

  ip4機構:
    103.20.73.0/24
    103.225.52.0/22
    103.44.209.0/24
    103.250.175.0/24
    137.59.235.0/24
    160.202.134.0/24
    43.231.244.0/22
    45.118.42.0/22
    59.153.204.0/22
    103.255.2.0/22

2:spf-giv001.burn-oxygen.com [IP: - ]
  SOAレコード:
    ゾーン名:burn-oxygen.com [IP: - ]
    プライマリーDNSサーバ:master.dns.ne.jp [IP:210.224.172.18]

  NSレコード:(burn-oxygen.com)
    DNSサーバー1:ns1.dns.ne.jp [IP:61.211.236.1]
    DNSサーバー2:ns2.dns.ne.jp [IP:210.224.172.13]

  a機構:

  include機構:

  ip4機構:
    103.19.118.0/24
    103.6.45.0/22
    103.228.60.0/22
    103.13.143.0/24
    103.19.160.0/22
    103.30.75.0/24
    103.54.59.0/24
    103.54.88.0/22
    103.232.201.0/24
    103.243.242.0/24
    103.254.61.0/24
    203.152.208.0/25


include機構の階層構造情報
0. k7mbxzync8.biz = root
1. spf-giv.burn-oxygen.com > 0
2. spf-giv001.burn-oxygen.com > 1



完全な独り言 2017/05/20

WannaCryの感染が世界に広がってますが、とりあえず私の周りでは被害にあったということは聞いていません。

 

被害が出てからでは手遅れです。

出来ることといえば、責任の擦り付け合いぐらいですかね。

あらかじめ、個人でできる対策でしたら、データーのバックアップですね。

 

WannaCryに感染していたという企業は、ネットワーク全体がハッカーに乗っ取られているというぐらいの認識を持ったほうがいいです。

 

WannaCryじゃないですが、私が体験した標的型攻撃の話を少し書きます。

 

去年、ほとんど迷惑メールの調査をしていなかった最大の原因は、標的型攻撃に晒され侵入を許し、マルウェアが仕掛けられまくっているという現実が目の前にあったからで、それの駆逐に追われてました。

 

サーバーが原因不明のハングアップを頻繁に起こし、ベンダーの調査でようやく不正プログラムが侵入している事態が判明しました。

 

ドライバに偽装したプログラムが海外の怪しげなサーバーに対し、何やら通信をかけていました。

いろんな手を使ってそのプログラムを特定し削除していったんですが、それを嘲笑うがごとく1〜2日で対策を取った新たなマルウェアが仕掛けられていきました。

 

もうこうなると、ハッカーはあちこちに仕掛けられたバッグドアから簡単に侵入し、内部の情報を自由に取得できる状態だと考える他ありませんでした。

 

恐らく対策方法を上に報告した私のメールも覗いてたんでしょう。

 

パターン定義型ウイルス対策プログラムはなんの役にも立ちませんでした。

ヒューリスティックエンジンとやらも無反応でした(理由はHTTPSアクセスと見せかけ、堂々とプロキシを通る仕組みだからと思われます)。

 

因みに某T社は特別に調査をしますと、露骨な営業をかけてきました(笑

 

最終的にネットワークの穴を全部塞ぐよう上に進言したうえで、通信先のサーバーをファイアウォールでピンポイントブロックしていくという手を取りました。

 

これでとりあえずいったんハッカーは手を引いたようですが、またすぐ来るでしょう。

それまでにもっと勉強しておかないといけないです。

 

上は終息宣言をし、情報漏えいは確たる証拠がないので無かったことになりました。

 

そんな状況だったのでこれ以上詳しく書けないんですが、こういう日本人特有の事なかれ主義はいつか身の破滅を招くかもしれません。

 

まぁ、首が飛ぶのは上の人間ですし。

 

広告を非表示にする

偽告訴詐欺:(民事訴訟法第110条遵守) W_E-Bコンテンツ未払い利用料支払い通達書

「JK・CKS信用情報管理通知センター」「紛争解決仲裁センター 担当藤田」等の脅迫メールと、よく似たパターンの迷惑メールを晒します。

完全な詐欺です。騙されないでください。

期限までに返答無い場合は告訴すると脅しておきながら、アホの一つ覚えのように何年も同じようなメールをおくってくる能無し連中です。


まずは本文から。

【指定xxxxxxx】
本通知は『法的証拠能力のある電子署名付き証明書』、『電磁的記録又は文書に準ずる物件』であり、民事訴訟法第231条にて「準文書」に相当し、「文書と同等に扱うもの」になり、民事・刑事の訴訟では「証拠能力を有するもの」となるので、必ずご確認下さい。

民事訴訟法第110条に追従し、貴殿に対し複数のW:E:Bコンテンツ運営運営会社から以下の未払い料金の請求・訴訟が行なわれております。

【主なW*E_Bコンテンツ一覧】
SNSサービス(出会い系・コミュニティサイト・占い、懸賞、動画サイト)
メールマガジン、ニュースアプリ、写真共有サービス

※貴殿のIPアドレス、接続機器情報は各W;E;Bコンテンツ閲覧履歴に記録済み(コンテンツ利用の証拠として提出済み)
※コンテンツの無料期間中に解約処理の申告が行われていない為、登録料・利用料・月額利用延滞料金等が発生中。

【未払い料金請求額】
未払金 325,000円
延滞金 175,500円
遅延損害金 233,000円[暫定]

請求総額[暫定]
733,500円(遅延損害金含む)
免除措置手続き期限 本通知後24時間以内.

【重要】未払い料金の支払い免除方法についてのご説明
①未払い料金の支払いを免除する為には、ご登録されております各WEBコンテンツに対し解約申請を提出する必要がございます。
②解約申請は弊社(本状通知人)にて代行致します。
--申請方法--
本案内を確認、承諾した証として折り返しこちらまで【登録解除】と記載しご返信下さい。
------------
ご連絡を頂き次第、未払い料金の支払い免除手続を行ないますので、宜しくお願い致します。
尚、本状の受信後、24時間以上対応を放置した場合は、未払い料金(978,650円)全額分の差押さえ処分及びブラックリスト登録が実行されます。
ご注意下さい。

(民事訴訟法第110条)
345.次に掲げる場合には、裁判所書記官は、申立てにより、公示送達をすることができる。
一  当事者の住所、居所その他送達をすべき場所が知れない場合
二  第107条第1項の規定により送達をすることができない場合
三  外国においてすべき送達について、第108条の規定によることができず、又はこれによっても送達をすることができないと認めるべき場合
四  第108条の規定により外国の管轄官庁に嘱託を発した後六月を経過してもその送達を証する書面の送付がない場合
2.前項の場合において、裁判所は、訴訟の遅滞を避けるため必要があると認めるときは、申立てがないときであっても、裁判所書記官に公示送達をすべきことを命ずることができる。



ま、この馬鹿詐欺師どものメールに電子署名が付いてたことは一度もありません。

当たり前ですが。

なので冒頭の文章から100%嘘です。騙されないで下さい。


「JK・CKS信用情報管理通知センター」等とは、メール送信の経路が少々違います。

メールヘッダのサーバー情報を抜粋して晒します。

Received-SPF: pass (re19.leadsv.info: domain of bounce-********@f59ks39uzamb.link designates 203.191.26.79 as permitted sender) receiver=re19.leadsv.info; client-ip=203.191.26.79; envelope-from=bounce-********@f59ks39uzamb.link;
Authentication-Results: ********  from=d0gznzea6kkt.link; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@d0gznzea6kkt.link
Received: from 203.191.26.79  (EHLO re19.leadsv.info) (203.191.26.79)
Received: from d0gznzea6kkt.link (static-ip.142.54.244.103.rev.i4hk.com [103.244.54.142])



送信元IPアドレス103.244.54.142と出てますね、逆引きDNSからみてi4HKのネットワークだとすぐにわかります。
d0gznzea6kkt.link以外で、このIPに割り当てられているドメインを調べてみました。

 

cnvhby5xj5qz.mobi  irnv7jatcr01s.info  nqm22twbh9xu.mobi 
vfroakdy451ju.info  y6zqkf8udcjw.mobi  r1583jdudiongl.info 
sjvmvu782nuk.info  encxuya5xjkiq.mobi  fnblocinf9jpqz.mobi 
zkvivu1jfn5ki3j.mobi  hsyd7kkdh9o.mobi  lqhd4oskjbay.mobi 
ohdysrdh259ki.info  rnvmx0jkd5tk.mobi  dkaiuy33kisu5p.info 
interarbitration.com  ckbigudy3313k.info  ok5kdify26kdj.info 
qofkvidy52hy.mobi  tdhv8dkdu6j.info  xiudyf6ld98l.mobi 
bonnietylers.asia  spandauballets.biz  aiv9msyfs5kfu.info 
hamx2g8s6lt.info  eodl3ndh4sou.mobi  mfjsu7disk2os.mobi 
zjvydtrb61kchy.mobi  dkkkf7465skd.info  kdjvd5645kcjk.info 
rkdk8652hdhfj.info  ks3124aksduj.mobi  tyd971jkdsaj.mobi 
kuqdl.seikjsafg.info  aesivkdfg.info  kikisuden.info 
seikjsafg.info  widhygg.mobi  zekgjud.mobi 
uyat6ybskip9k.mobi  haoijyy42jt79okp.mobi  hgau88ko43mgk.mobi 
hgu55hoidd46ksdj.mobi  hgy4ty28str1gsf.info  uh9ttr25jjf7ajig.info 
sidetoside.biz  thrillerluftballons.biz  virtualinsanitys.net 
whitneyhoustons.biz  wreckingball.website  zqopdmr6femry.mobi 
backyardboogie.website  greenhills.biz  instacover.net 
koyfyne87fdws.mobi  poikmfe99deuf0s.mobi  bvhg78kn15m.mobi 
qsdvjio96hygy2.mobi  rdntyydn10desefy.info  sevy92dkke7thie.info 
4fyt78nmdese.mobi  opu8d7des656s.mobi  r3opdyu87dnes.info 
ytfhe5gsesiod.info  yufy89d8mwde.mobi  3cndyd0ooid45.info 
behindthese.biz  dui890d0xs77d.info  ffoo9oder7udi24.mobi 
fweod024dcszz.info  jmd8ixdwst9.mobi  wqciui9fejde23g.mobi 
xysle.gatewall6locks.info  flyfateon36mil.info  gatewall6locks.info 
gmkm6thpoksx.mobi  oidum78mdds6.mobi  ufju478d45eg.mobi 
homuy7cinring.mobi  kmjjzz998ds.top 

 

わかってるだけでこれだけあります。
こんなに怪しげなドメインを大量に売り捌いているのはGMO系だろうとおもったら、やはりお名前.comでした。
詐欺師相手にボッタクリですか。いやぁ商魂逞しいですなぁ、この会社は。
いくらでもドメイン売れるでしょうねぇ、そりゃあ世界No.1にもなれるでしょう。
いったい詐欺師相手に、今までにどれくらいのドメインを売りつけたんでしょう。
億単位?いやそれ以上か・・・。

Domain Name: d0gznzea6kkt.link
Domain ID: DO_d827fe71817fc6822b1464b1b777d0b4-UR
WHOIS Server: whois.uniregistry.net
Referral URL: http://whois.uniregistry.net
Updated Date: 2017-05-03T15:02:11.494Z
Creation Date: 2017-04-28T15:01:28.486Z
Registry Expiry Date: 2018-04-28T15:01:28.486Z
Sponsoring Registrar: GMO Internet, Inc. d/b/a Onamae.com
Sponsoring Registrar IANA ID: 49



さて、転送サーバーは203.191.26.0/24のようです。
SPFレコードも確認してみます。

d0gznzea6kkt.link.    IN    TXT    "v=spf1 ip4:203.191.26.0/24 ~all"



間違いないですね。
これまたi4HKのネットワークです。

https://www.robtex.com/?as=as58779


Outlookで仕分けする場合は[メッセージ ヘッダーに含まれる文字]に、
203.191.26.
を設定してください。

具体的な設定方法はこちらを参照してください。



以上から、経路が違うとはいえi4HKを使用したMuramatsuGroupの犯行だと見ていいでしょう。

出会い系詐欺サイト:ヒカル eikomisawamudra.biz

今日は久しぶりに出会い系詐欺サイトを晒します。


IPアドレスは103.241.16.33、AS58779 i4HK Limitedという香港のネットワーク屋ですかね。
AS133027 Eric Tamのネットワークもここから割当を受けているようです。

http://www.i4hk.com に一応、やる気ゼロのとりあえず作りました的なホームページが存在します。
MuramatsuGroupお抱えのネットワーク屋と考えるべきでしょうね。

メールヘッダを抜粋して晒します。

Received-SPF:
pass (re08.leadx.link: domain of bounce-********@eikomisawamudra.biz designates 122.115.76.102 as permitted sender) receiver=re08.leadx.link; client-ip=122.115.76.102; envelope-from=bounce-********@eikomisawamudra.biz;
Authentication-Results:
******** from=eikomisawamudra.biz; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@eikomisawamudra.biz
Received:
from 122.115.76.102 (EHLO re08.leadx.link) (122.115.76.102)
Received:
from eikomisawamudra.biz (unknown [103.241.16.33]) by re08.leadx.link (Postfix) with ESMTP



前回記事で、AS133027 Eric Tamからくる迷惑メールがこれだと少し書きましたが、103.241.16.33から122.115.76.0/24で転送されているように見えます。
実際に大量に送信しているのは122.115.76.0/24でしょう。

こういう出会い系詐欺に反応してしまうと、「JA・CKS信用情報管理通知センター」や「紛争解決仲裁センター」といった脅迫メールまで呼び込んでしまうことになります。

eikomisawamudra.biz のSPFレコードは、122.115.76.0/24 以外に 223.252.175.0/24 も認証を通すように書かれています。

Outlookで仕分けする場合は、[メッセージ ヘッダーに含まれる文字]に、

112.115.76.

223.252.175.

を設定してください。具体的な設定方法はこちらを参照してください。



さて実はこのサイト、某有名口コミサイトへ私が3年前に調べた結果を書き込んでます。
性懲りもなく、まだやってたんですね。
そのとき迷惑メールを転送かけてたのは114.112.20.235、i4HKのネットワークで管理者はEric Tamでした。

間違いなくMuramatsuGroupの詐欺サイトです。騙されないようくれぐれもご注意下さい。

AS133027 Eric Tam の迷惑メール送信用ネットワーク 122.115.76.0/24 について

今日はほんの少しだけ。

 

「JA・CKS信用情報管理通知センター」「紛争解決仲裁センター」のアホ丸出し迷惑メールを送信しているサーバーが、114.113.195.0/24のネットワークに存在すると記事に書きました。

(新たに確認したアドレスはその記事に追記しました。)

 

これはAS133027 Eric Tamという人物だか組織だか、そもそもどこの国の人間なのかもよくわからないのにAS番号を取得できるという、怪しげな力を持っている奴が運営しているネットワークで、まぁMuramatsuGroupお抱えなんでしょうが他にもあります。

 

で、最近届いた迷惑メールのうち、ほんの約4000通ほどにIPアドレスで検索をかけてみました。

122.115.76.0/24の範囲で、2つのメールアドレスが確認できました。

配 送 セ ン タ ー  <mail@ariariiksimaradatai.biz>
母 <mail@eikomisawamudra.biz>

まだ、リンクを開いてませんがMuramatsuGroupが絡んだ詐欺なのは間違いないでしょう。

 

というわけで、逆方向から探っていこうという予告でした。