MuramatsuGroupKiller spam Library

迷惑メールを色々調べます

AS133027 Eric Tam の迷惑メール送信用ネットワーク 122.115.76.0/24 について

今日はほんの少しだけ。

 

「JA・CKS信用情報管理通知センター」「紛争解決仲裁センター」のアホ丸出し迷惑メールを送信しているサーバーが、114.113.195.0/24のネットワークに存在すると記事に書きました。

(新たに確認したアドレスはその記事に追記しました。)

 

これはAS133027 Eric Tamという人物だか組織だか、そもそもどこの国の人間なのかもよくわからないのにAS番号を取得できるという、怪しげな力を持っている奴が運営しているネットワークで、まぁMuramatsuGroupお抱えなんでしょうが他にもあります。

 

で、最近届いた迷惑メールのうち、ほんの約4000通ほどにIPアドレスで検索をかけてみました。

122.115.76.0/24の範囲で、2つのメールアドレスが確認できました。

配 送 セ ン タ ー  <mail@ariariiksimaradatai.biz>
母 <mail@eikomisawamudra.biz>

まだ、リンクを開いてませんがMuramatsuGroupが絡んだ詐欺なのは間違いないでしょう。

 

というわけで、逆方向から探っていこうという予告でした。

「JA・CKS信用情報管理通知センター」「紛争解決仲裁センター」の迷惑メールをOutlookで仕分けする設定方法

メールサービスを提供しているキャリアやプロバイダでは、迷惑メールをブロックするシステムを導入しています。
しかしMuramatsuGroupなどの詐欺組織は、このブロックを突破するためのシステムを日々進化させています。

同じ迷惑メール送信者なのにメールアドレスが頻繁に変更されるのも、このブロック突破システムの機能で、アドレスやドメイン(アドレスの@より後ろ)でのフィルタ設定を困難にしています。

「JA・CKS信用情報管理通知センター」「紛争解決仲裁センター」の迷惑メールもアドレスを頻繁に変えてきます。
これをOutlookで仕分けできるようにしようというのが、今回の記事です。

Outlook2016を使用していますが、基本的には2007や2010、2013も同じはずです。
画面デザインが違うと思いますが、項目はあるはずです。

考え方としては、メールヘッダに出ている送信サーバー AS133027 EricTamのネットワーク 114.113.195.0/24 のIPアドレスを特定の文字としてひっかけます。

アドレスとは違い、メール送信(転送)サーバーのIPアドレスは頻繁に変化しなかったり、変化してもある程度の範囲が予測できるからです。

「JA・CKS信用情報管理通知センター」「紛争解決仲裁センター」の場合、一番最初の送信元のIP:103.244.54.137でもいいんですが、迷惑メールは大抵の場合、送信元のIPも頻繁に変わります。


設定方法がやや複雑ですが、ドメインを都度ブロックするより遥かに効果的です。

 

※注意

この設定を行う場合はご自身の責任で行ってください。

条件によっては必要なメールも仕分けされる可能性があります。

設定後、仕分けが正しく行われているか必ずチェックをしてください。


では実際に設定していきます。

リボンメニューから[ルール]-[仕分けルールと通知の管理]をクリックしてください。
f:id:MuramatsuGroupKiller:20170506224924p:plain



新しい仕分けルールをクリックしてください。

f:id:MuramatsuGroupKiller:20170506225016p:plain

 

「自動仕分けウィザード」ウィンドウが開きます。

f:id:MuramatsuGroupKiller:20170506225055p:plain

ここで[受信メッセージにルールを適用する]を選択して[次へ]ボタンをクリックしてください。

「条件を指定してください」に表示がかわります。

f:id:MuramatsuGroupKiller:20170506225332p:plain

ステップ1の条件で、[メッセージ ヘッダーに特定の文字が含まれる場合]にチェックを入れてください。
ステップ2の白い枠内に文章が出てきたら[特定の文字]をクリックしてください。

「文字の指定」ウィンドウが開いたら、ひっかけたい文字を入れます。

f:id:MuramatsuGroupKiller:20170507012137p:plain

「JA・CKS信用情報管理通知センター」「紛争解決仲裁センター」の迷惑メールを送信しているAS133027 EricTamのネットワークを設定します。

[メッセージ ヘッダーに含まれる文字]の枠内に下の文字を入力し、[追加]ボタンをクリックすると一覧に追加されます。

Received: from 114.113.195.

 

※追記

これで仕分けできない場合は、 114.113.195. だけにして確認してください。


[OK]ボタンをクリックすると、「自動仕分けウィザード」ウィンドウに戻り、ステップ2の[特定の文字]の箇所が入力した文字に置き換わっていると思います。
確認できたら[次へ]をクリックしてください。うまくいかなかった場合は文字の部分をもう一度クリックするとやり直せます。

「メッセージに対する処理を選択してください」に表示が変わります。

f:id:MuramatsuGroupKiller:20170507014223p:plain

とりあえず迷惑メールフォルダに放り込んでしまいましょう。
いきなり消すのはやめておきます。万が一必要なメールが仕分けされたら、わからなくなります。

ステップ1で指定フォルダーへ移動するにチェック、ステップ2で指定をクリックしてください。
フォルダを選択して[OK]ボタンをクリックすると、指定が迷惑メールフォルダに変わります。

[次へ]ボタンをクリックすると「例外条件を選択します」に内容がかわります。

例外条件を指定することができます。必要なメールも仕分けされる場合はこちらで例外設定をしてください。
[次へ]ボタンをおしていくことで、例外を複数設定することができます。
必要なければ[完了]ボタンをクリックしてください。

「ルールの設定を完了します。」に表示が変わります。

f:id:MuramatsuGroupKiller:20170507015244p:plain

ルールの名前をわかりやすく変更しておくといいでしょう。
また、["受信トレイ"内のメッセージに仕分けルールを適用する]にチェックを入れると、すでに受信トレイにあるメールにも仕分けが適用されます。
とりあえず設定だけして無効にしておきたい場合は[この仕分けルールを有効にする]のチェックをはずしてください。

仕分けルールを編集したい場合は、リボンメニューの[ルール]-[仕分けルールと通知の管理]から、編集したいルールにチェックを入れて[仕分けルールの変更]-[仕分けルール設定の編集]をクリックしてください。「自動仕分けウィザード」ウィンドウが出てきます。

要は、Outlookの仕分けルールの条件に「メッセージ ヘッダーに特定の文字が含まれる場合」を指定する、ということです。
この文字のところに何を設定すればいいかわかれば、他の迷惑メールも仕分けできます。

 

これなんですがメールヘッダやドメインSPFレコードを見て理解する必要があります。
私が迷惑メールを晒すとき「直前の送信サーバーは」とよく書いてます。
これを設定すればいいんですが、詳しくはおいおい説明していきたいと思います。

偽告訴詐欺:紛争解決仲裁センター 担当藤田 <info@g0zs8omwfqere.link>

※すでに被害に遭われた方へ

最寄りの消費生活センター(公的機関)へご相談ください。もちろん無料です。電話は局番なしの188。

詐欺検証、詐欺調査などと称して調査料名目で金を騙しとろうとする悪徳業者が多数存在します。

2次被害に遭うので絶対に利用しないでください。

 

いい言葉が思いつかずに「告訴詐欺」という名前でカテゴリを作ったんですが、変な日本語ですね。

このバカ詐欺師どもを、なんてカテゴライズしたらいいんでしょう。

ようするに、いきなり「告訴するぞ、裁判起こすぞ」と根拠のない脅迫をする内容の迷惑メールを、送りつけてくるたちの悪い詐欺です。

 

「JA・CKS信用情報管理通知センター」を2回に渡って記事にしました。




これと同じ詐欺師連中だと思われる別の迷惑メールが届いたので晒します。
今回は「紛争解決仲裁センター 担当藤田 <info@g0zs8omwfqere.link>」です。

メールアドレスは頻繁にかわります。

 

判明しているメールアドレスのドメイン(@より後ろ) 2017/05/20 更新

konkon99.club underg1.xyz jungjong8.win kwruhb44.club
lonlon55.club suhosho.xyz reader99.xyz heighthi88.top
comand2.club conglation111.xyz gaind5.win gogonana.win
outhor4.xyz yappo878.info weblist32.club okusama10goku.xyz
v5ogr3qgtp0eh.top m9y9nx5qo5d0f.top jonjokojon789.shop sunsonshu55.shop
20fv9uicbmcid.link 2bke8q4dybzuo.link cph7l0pgxnv2s.link dzea626y1whdr.link
g0zs8omwfqere.link gplpdph2h6bv7.link ocbotshemc8l6.link q1g7w7qxuij86.link
wsxhwh559uwks.link i7fkywkb1ton.link 788fckwv42kj.link p963kr435uqq.link
1eyv7xaaktsre.club 1nglqow1wmcv.link 1sti4j7a8y1z.link 2i2othm9anqi.link
41s3iylst30x.link 33k251p85aoc.link foozoocars24.top j88fj3kkfodr.link
99d8k3ikf3rrf.link gjjuikofertt.link 3koof0098dr.link iifkekfoe99fe.link
moymoykings5.top gatemaxxon.top rdnvgggd99ds.link eopdkndujdfgs.link
652hfjfjefyyjdetrgg.link cjchdxxdmcjffefd.link ehdgyfurnmd998.link f799f7jen66ufnegg.link
fu0f90me8ftg09det.link fyyhfnerdriooui80.link fyyjfmendfref799fe.link kgmgdukfetv0fke.link
thfjfye899derfgg.link ujfunmf889f9weref.link uyfhnennydtr56d7hr.link xdhtdthyt7drnmd.link
y7f89je8f7ierf.link yhfnemdefr009dr.link kmvkdfuydmed47d.top 98jkfmekt77ude99.link
9kldkemdyume.link cmvjdieo0876de.link cxkuid9ks6des.link dncyuht678.link
dvvggetrgt667sd.link ffedtfkfdwwrf78d.link fvewdriiop089de.link fvvdrdyydu889lfe.link
fychsend7jd8wd.link hgocikifsettd.link hvpokyndyttbdes.link ikdeikikse996ds.link
jdyt5667d8nwds.link jngycudetg89smd.link jnmm8dwks9e.link vmdkodye88dwd.link
wshjioodegg767.link dduiu878jd8ref.link duyy78jdeese.site eemuymdyu87g.top
encb55xndke.site iumuy67desd.site jumgyzttyz9.top kkdummyzyne.site
kkumddumfe.site koummdyyrem.top kunm88jd8rfe.top ookmudey87.top
piomdh8cje.site uo8j72m4mdr.site kirakira104.site


まずはメール本文から。

 

本通知は『法的証拠能力のある電子署名付き証明書』、『電磁的記録又は文書に準ずる物件』であり、民事訴訟法第231条にて「準文書」に相当し、「文書と同等に扱うもの」になり、民事・刑事の訴訟では「証拠能力を有するもの」となるので、必ずご確認下さい。

【通知番号xxxxxxxx】

被通知人(債務者)
********@********宛(電磁的記録済)
平成29年5月5日通知

【支払催告書】
貴殿は、登録された有料情報サイトの利用料金の未納が続いており、本通知到達後24時間以内に対応されない場合は、法的措置を行うことを申し添えします。

▼未払い記録情報
請求金額【1,100,223円】(遅延損害金含む)
支払い期限:本通知到達後24時間以内
支払いの際、本通知に【全額支払い】と記載し、ご返信下さい。

▼請求金額の支払いが困難の場合
下記に【救済措置】が記載しておりますのでご確認下さい。

※救済措置について※
有料コンテンツ利用手続きの解除、契約内容の破棄、登録解除(退会処理内容)を行うことで、全額支払い義務が無効になります。
利用料金の支払い義務の無効を希望される場合は、【登録情報削除申請】と本通知に記載し、ご返信下さい。

【登録情報削除申請】と、お送りして頂きましたら、弊社で確認後、折り返しご連絡をしますので、ご対応下さい。
退会処理が最後まで履行されず、途中で連絡がつかなくなった場合、法的手段において対応を取りますので、十分にご注意下さい。

退会処理完了後、全ての支払い義務が無効になり、信用情報機関に滞納者として登録されてる情報も削除され、登録されてる個人情報もすべて完全破棄となりますのでご安心下さい。



【※登録時の契約合意までの流れ※】
↓↓↓
貴殿は平成※※年※※月※※日、インターネット上における無料の情報サイトに上記メールアドレスを入力し、規約に同意され、電磁的方法によって、情報サイトの運営元との契約に合意したものである。(利用規約第七条六項に基づき、個人情報は伏字とさせて頂きます。)
規約の内容については、登録時に確認されており、更に入力されたメールアドレス宛に、電子署名付の電子証明書付電子メールにて、法令で定められた契約締結書面、登録時の利用規約等を送付し閲覧された事も確認済みである。
更に、電磁的方法(当該書面の記載事項をPDF、HTMLその他の形式で当サイト上に掲示し閲覧に供する方法、またはメールで送信する方法)により登録情報を提供している。

【※利用規約の内容※】
↓↓↓
-利用規約第三条二項-
・登録後、無料期間中の14日以内に退会処理を行わない場合は、サイト利用継続の意思があるとみなし、全ての有料サービスの利用が可能となり、【月額98,000円】の利用料金、並びに【月額27,000円】のサポート費用が発生し、退会処理が行われるまで契約内容が継続され、有料コンテンツの利用有無に関わらず、支払いの義務が発生します。

-利用規約第三条四項-
・有料コンテンツ利用可能登録期間中、当社はこれを正当な利用として取り扱い、会員に支払い義務が発生しても当社は一切責任を負いません。

-利用規約第七条六項-
・当社が取得した会員に関する個人情報(登録情報並びに契約内容)は、別途定める当社のプライバシー・ポリシーに従って取り扱われ、当該会員が不正行為、または規約に従わない行為等が認められた場合は、損害賠償の責任を負うものとし、登録情報の開示は、裁判所による開示請求、運営元が適当と判断した場合のみ開示される。退会処理を行った会員については、その限りではない。

【本当に登録してるのか?】
↓↓↓
貴殿が以前無料の情報サイトに登録。
登録の際は、利用規約に同意し登録。
更に、メールアドレスもご自身で入力。
登録後、入力されたアドレス宛に弊社からのメール(電子署名付の電子証明書付電子メール)にて、再度規約等もお送りしており、内容を確認をして頂き、本登録になっております。
本登録後も、14日間の無料期間に退会処理を行わない場合は、全ての有料コンテンツサービスの利用が可能となるが、月額の費用がかかる説明もしております。
登録をし、そのまま放置されたと思われますが、退会処理を行わない限り、契約内容が継続になり支払い義務が発生しております。
ですが、今回救済措置があるので、不利益な状態になる前にご対応されたほうがいいと思われます。

現時点において、信用情報機関に滞納者情報として記録されており、このまま放置された場合金融機関、行政サービス等を利用することができなくなります。
万が一、このまま放置された場合、貴殿の利益を喪失させ身元調査により得られた貴殿に関する情報をインターネット上に開示した上で、損害賠償請求実行、並びに詐欺罪等の法的手続きを取りますので念の為に申し添えします。

【IP情報及び機器情報】
本通知の閲覧日時、使用機器アクセス元の情報を記録します。
取得した個人情報等、法的措置が取られた場合、法的機関の指示において提出しますのでご了承下さい。

尚、弊社は、指定紛争解決機関に基づき、裁判外紛争解決を目的とし、紛争問題を迅速に円満解決を目指してる機関になり、原告側からの依頼を受けて今回ご連絡をしております。

※お問い合わせについて※
電話による問い合わせはしておりません。
メールにて問い合わせをして頂けますようお願いします。


微妙に文章が変わってますが、手口は同じです。
また適当に文章変えるんでしょうが、こいつらがいかにアホなのか示すため、ひとつだけ突っ込んでおきます。

電子署名付の電子証明書付電子メールにて」

意味わかりません、なんでも付けりゃいいってものではありません。
電子証明書がどういうものか、わかってない証拠です。

他にもツッコミどころ盛り沢山、アホ丸出しの詐欺師に騙されないでください。

メールヘッダのサーバー部分を抜粋して晒します。

 

Received-SPF: pass (re27.leadw.link: domain of bounce-********@outhor4.xyz designates 114.113.195.67 as permitted sender) receiver=re27.leadw.link; client-ip=114.113.195.67; envelope-from=bounce-********@outhor4.xyz;
Authentication-Results: ********  from=g0zs8omwfqere.link; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@g0zs8omwfqere.link
Received: from 114.113.195.67  (EHLO re27.leadw.link) (114.113.195.67)
Received: from g0zs8omwfqere.link (static-ip.137.54.244.103.rev.i4hk.com [103.244.54.137])


「JA・CKS信用情報管理通知センター」と同じ連中だということが、わかると思います。
送信元のIP:103.244.54.137が全く同じ、転送サーバーも114.113.195.0/24と同じネットワーク。
文面変えてるだけです。

どうやらドメインを次々取得してIP:103.244.54.137へ割り当てているようです。
「紛争解決仲裁センター」以外にも違うパターンが存在するのはすでに確認しています。

さて、最後に。
IP:103.244.54.137で以前、出合い系システムを流用した支援詐欺サイトが存在したようです。
(表面上は無くなったように見えて、裏で存在するかもしれません)

Appleparks / アップルパークス というサイト名です。
ドメインはいくつかありましたが、代表的なのがringform.infoです。
Google検索でもかけてみてください。

何らかの理由で詐欺師がシステムを維持できなくなったか、あるいは他の貧乏詐欺師がIPだけを割り当ててもらったのか。
まぁ、MuramatsuGroupが絡んでるのは間違いないでしょう。

 

※続きを書きました。

 

muramatsugroupkiller.hatenablog.com

偽告訴詐欺:JA・CKS信用情報管理通知センター  その2

Live HTTP headersマルウェア化したのに今更気づいて、調査環境の再構築をしています。
おかげであまり調査できてないんですが、とりあえず「JA・CKS信用情報管理通知センター」の2回目です。

JA・CKS信用情報管理通知センターの前回記事のアクセスが予想以上に多いです。
で、改めて過去に来た迷惑メールを調べてみました。

「JA・CKS信用情報管理通知センター」の名前で去年の年末から送信されていました。
それよりも前に、出来損ないの出会い系システムを流用した偽告訴詐欺を追跡していましたが、同じ連中だと考えています。

前回晒した、メールヘッダからの送信サーバー情報です。


Received-SPF: pass (re27.leadw.link: domain of bounce-********@g0zs8omwfqere.link designates 114.113.195.101 as permitted sender) receiver=re27.leadw.link; client-ip=114.113.195.101; envelope-from=bounce-********@g0zs8omwfqere.link;
Authentication-Results: ********  from=kldoqzn6x62p3.top; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@kldoqzn6x62p3.top
Received: from 114.113.195.101  (EHLO re27.leadw.link) (114.113.195.101)
Received: from kldoqzn6x62p3.top (static-ip.137.54.244.103.rev.i4hk.com [103.244.54.137])




送信元のサーバーIPアドレスが、103.244.54.137になっています。
メールアドレスのドメイン部分(@から後ろ)で判明しているもので、現在も103.244.54.137に割り当てられているドメインは下記のとおりです。

jonjokojon789.shop
sunsonshu55.shop
20fv9uicbmcid.link
2bke8q4dybzuo.link
cph7l0pgxnv2s.link
dzea626y1whdr.link
g0zs8omwfqere.link
gplpdph2h6bv7.link
ocbotshemc8l6.link
q1g7w7qxuij86.link
wsxhwh559uwks.link
i7fkywkb1ton.link
788fckwv42kj.link
p963kr435uqq.link
1eyv7xaaktsre.club
rdnvgggd99ds.link
eopdkndujdfgs.link
kldoqzn6x62p3.top

最新のメールヘッダからの送信サーバー情報です。


Received-SPF: pass (re27.leadw.link: domain of bounce-********@authoranz.xyz designates 114.113.195.11 as permitted sender) receiver=re27.leadw.link; client-ip=114.113.195.11; envelope-from=bounce-********@authoranz.xyz;
Authentication-Results: ********  from=somach789.xyz; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@somach789.xyz
Received: from 114.113.195.11  (EHLO re27.leadw.link) (114.113.195.11)
Received: from somach789.xyz (static-ip.137.54.244.103.rev.i4hk.com [103.244.54.137])


 

新たに、somach789.xyz, authoranz.xyz が割り当てられたようです。

(IPアドレスに関して、アップしてすぐ記事修正しました。どうやら頭が混乱していたようです・・・。)

いずれも、転送が114.113.195.0/24のネットワーク上でかかっているようです。
なので、メールソフトで迷惑メールとしてフィルタをかけたいのであれば、メールヘッダ内の「114.113.195.」という文字で引っ掛ける必要があります。

この転送サーバーがいるネットワークを、もう少し調べてみます。
前回このネットワークはAS133027 ET355-AS Eric Tamのものだと書きました。
これをRobtexで見てみましょう。

あ、念の為書いておきます。Robtexはdoubleclick.netのトラッカーを仕掛けてたりします。
嫌な方はトラッカーをブロックしてください。

https://www.robtex.com/?as=as133027


ここを見ると、Eric Tamが持っているネットワークは

114.113.195.0/24
122.115.76.0/24
191.101.60.0/24
223.252.175.0/24

となっています。
「114.113.195.」以外に、「122.115.76.」「191.101.60.」「223.252.175.」もメールソフトでフィルタかけるといいでしょう。
いずれも香港のIPということになってます。

で、気になるのが"Proxy-registered route object"という箇所です。
はっきりと意味はわからないんですが、香港のIPを取得しルーティングをかけているのかもしれません。
ルーティング先が日本なら、転送サーバーの実体は日本にあるのかもしれません。
だとしたら色々辻褄が合います。

Live HTTP headersマルウェア化について

Firefoxのアドオン、Live HTTP headersを使っていると記事に書きましたが、気になるページを見つけました。

 

HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog

 

Firefoxも同じかどうかわかりませんが、かなりヤバそうですねこれ。使うのやめます。

 

どうやら画像データーにスクリプトを埋め込んでおいて、バックグラウンドで動くjavascriptが切り出して実行、それがさらにAMAZONAWSからスクリプトをダウンロードして実行、そいつがパスワードから何から盗み出すようですね・・・。

 

やれやれ・・・、HTTPアクセスは自作のPerlスクリプトで調べます。

 

ロボット、USBメモリ、FX、幼稚園・・・なんでもありの情報商材詐欺:最新副業ロボット「AMS」:高杉 信志

GWですね。

9連休です。

 

どこにも行かずに、ここぞとばかりに詐欺師を追っかけます。

 

動けば普段の倍カネがかかる、という言い訳をしておこう

 

・・・今日、迷惑メールから取り上げる情報商材詐欺はこちら。

最新副業ロボット「AMS」:高杉 信志

http://world-community.net/robot/img/header_01.jpg


特定商取引法に基づく表記


販売者名     高杉 信志
所在地     〒140-0001 東京都品川区北品川1丁目9番7号 トップルーム品川1015号
電話番号     03-6635-6435
メールアドレス     takasugi@world-community.net
商品引渡し時期     お申し込み完了後、頂いたメールアドレスへご連絡いたします
表現及び商品に関する注意書き     本商品に示された表現や再現性には個人差があり、必ずしも利益や効果を保証したものではございません。



情報商材詐欺では、特定商取引法に基づく表記の所在地がほとんどレンタルオフィスになっています。
Google検索で調べればすぐにわかります。

なので詐欺師の所在を調べるのには何の役にも立ちませんが、過去どんな情報商材詐欺をやってきたか調べるには役立つことがあります。

この高杉 信志という詐欺師は、これもやってました。
【限定100名】「フィンテックミリオネアクラブ」遂に開校!!:高杉 信志

http://world-community.net/saisyuu/img/images/header_01.jpg


こちらでは顔出ししてますね。本人かどうか知りませんが。
いつも思うんですがコイツに限らず、適当な人間引っ張ってきて広告塔に仕立てあげているだけじゃないでしょうか。


幻のUSBメモリってのも笑えますが、誓約書はもっと笑えます。

http://world-community.net/mv/wp-content/uploads/2016/12/012A4516.jpg


誓約書には法的強制力はありません。
こんな子供騙しな文章では、裁判で持ちだしても全く効力無いでしょうね。

こちらの特定商取引法に基づく表記はこうなってます。


販売社名    株式会社EnterCreate
運営統括責任者    宮脇由輝
所在地    東京都品川区北品川1丁目9番7号 トップルーム品川1015号
電話番号    03-6635-6435
メールアドレス    takasugi@world-community.net
販売URL    http://world-community.net/saisyuu/
お支払い方法    クレジットカード (分割払い可)
銀行振込 (前払い)
販売価格    298,000円 (税込)
商品代金以外の
必要金額    ・複数回払いシステム利用料
・振込の場合、振込手数料
商品引渡し時期    お申し込み完了後にお渡しします。
商品引渡し方法    ご購入時に頂いたメールアドレスへご連絡いたします。
返品・不良品について    データが壊れている等商品に欠陥がある場合を除き返品・返金に応じることはできません。
投資に係るリスクおよび
手数料について    当商品は、著者と同じような利益が出ることを保証するものではありません。
FXは価格変動リスクを伴い、また証拠金を上回る取引を行うことがありますので、場合によっては
投資額を上回る損失を被る可能性があります。 FXには取引業者の売買手数料がかかります。


こちらは会社名出てますね。株式会社EnterCreateGoogle検索かけるとコイツが出てきます。

幼稚園転売(?)の情報商材詐欺をやってたようですが、肝心の詐欺サイトは消されたようです。
検索かけてもコイツは詐欺師だといったような情報しか出てきません。

おそらく情報商材詐欺を仕掛けてる上の人間に使い捨てにされたんじゃないでしょうか。

最新副業ロボット「AMS」に戻ります。
迷惑メールの本文内URLリンクにアクセスした瞬間、下記URLへもアクセスします。

http://kakushin-affiliate-center.net/

革新アフィリエイトセンターというアフィリエイトサービスプロバイダのようです。
当然Google検索かけても、会社情報はなにも情報が出てきません。
IPは 52.192.166.117、またまたAMAZONAWSですね。

さて、aguse.jpで調べるとサーバー証明書RapidSSLが発行したコモンネームafcenter.netのものになってます。
afcenter.netGoogle検索かけてみると、なんと自分のこのブログがヒットしました。orz

ノーベル賞まで持ち出す情報商材詐欺:FX博士式マスタープログラム 茶谷博樹 - MuramatsuGroupKiller spam Library


この記事の中で、ソリューションアフィリエイトセンターが使っているドメインno1solution.bizのSPFレコードが

v=spf1 include:_spf.afcenter.net ~all

となっていると書いてます。

afcenter.netは、IPが割り当てられています。
52.192.166.117、これまたAMAZONAWSです。詐欺師に大人気ですね。
whois情報がAMAZONになるんで調査に役立たないんですよね・・・。
一見まともそうなASPも使ってたりします。関連を疑いたくなります。

SPFレコードの内容は下記の通りです。

1. 133.242.205.53/32
2. 153.120.37.143/32
3. 133.242.146.217/32 
4. 133.242.205.57/32
5. 133.242.207.194/32
6. 133.242.206.165/32
7. 54.92.110.1/32

133.242.205.53はイーグルアフィリエイトセンターで使われていたようです。
今はトップフロンティアアフィリエイトセンターに変わっているようです。
いずれも株式会社ドリームスタイルが運営しており、会社名で検索するだけで情報商材詐欺情報が出てくるようなところです。

その他のIPに関しては情報は出てきませんでした。もう使用していないと思われます。
そもそもno1solution.bizのIP:52.192.166.117, 52.196.235.186が入っていない時点でおかしいです。
迷惑メールは無料オファーを受けたスパマーが投げるので、もう要らないんでしょう。

ですが、おかげでロボットからここまで繋がりました。
とにかくこの情報商材詐欺師は会社情報すら公開していないASPを乱立させ、適当な人間を引っ張ってきて詐欺商材を宣伝させ、スパマーに迷惑メールをバラ撒かせ、金を騙しとっているようです。

高杉 信志とか、姫乃 麻莉菜は、使い捨ての広告塔に過ぎない、ということでしょう。
間違いなく根っこはひとつ、黒幕がいるでしょう。

もっと気になるが、SPFレコードの設定の仕方がMuramatsuGroupに酷似しているということです。
私の気にし過ぎなだけならいいんですが。

F-1アフィリエイトセンターの詐欺商材:ザ・マネーグロース 清水 卓弥

今日はまたひとつ情報商材詐欺を晒します。

情報商材詐欺の迷惑メールに関しては、メールヘッダからの送信サーバー情報に合わせ、HTTPアクセスからのアフィリエイトサービスプロバイダ(ASP)情報も可能な限り晒していきます。

今日晒すのはこちら。

ザ・マネーグロース 清水 卓弥


特定商取引法に基づく表示



運営責任者             清水 卓弥
所在地                 〒154 - 0002 東京都世田谷区下馬2-15-1
電話番号            080-4390-3475
Eメールアドレス        info@the-money-growth.com
URL                    http://the-money-growth.com/lpbb/
お申し込み方法         ページ内からメールアドレスをご登録ください。
個人情報について    お客様の個人情報を第三者に開示することはございません。
表現、及び商品に関する注意書き
本商品に示された表現や再現性には個人差があり、必ずしも利益や効果を保証したものではございません。




投資系ですかね、知りません。商材を確認するだけ時間の無駄です。
HTTPアクセス情報を得るためにメールアドレス入力したらセミナー予約されたみたいなんですが、登録後に無断欠席の場合キャンセル料5000円などど表示してきました。

 

http://the-money-growth.com/lp/thankyou/index2.php


かなり強気な詐欺師ですな。取れるもんなら取ってみな。

上のURLは大丈夫ですが、メールからリンクをたどって予約した場合、アクセスしてきた人間のメールアドレスは向こうで判断つくはずです。
5000円よこせと脅迫してくるかも知れません。お気をつけ下さい。

さて、メールヘッダの方から見ていきますか。
後で詳しく書きますが、アフィリエイトサービスプロバイダが絡んでます。
清水 卓弥が迷惑メールを直接送ってきているのではなく、ASPに登録した迷惑メール送信専門の下っ端詐欺師の仕業でしょう。


Received-SPF: pass (mb63.asumeru005.com: domain of r+xxxxxx@1lejend.com designates 133.242.94.63 as permitted sender) receiver=mb63.asumeru005.com; client-ip=133.242.94.63; envelope-from=r+xxxxxx@1lejend.com;

Authentication-Results: ********  from=f-1magazine.com; domainkeys=neutral (no sig); dkim=neutral (no sig); header.i=@f-1magazine.com

Received: from 133.242.94.63  (EHLO mb63.asumeru005.com) (133.242.94.63)

Received: from 192.168.11.63 (unknown [192.168.0.1])



192.168.11.63はローカルIPアドレス、ネットワーク内部での転送情報と一応推測できます。
Received-SPF: passなので直前の送信サーバー情報は信用できると判断。

いつものBGPtoolkitで見てみます。

133.242.94.63 - bgp.he.net

http://bgp.he.net/ip/133.242.94.63#_dns


DNSの逆引き設定がされていますね。mb63.asumeru005.com.
この情報を元に色々検索してみると、どうやらこの迷惑メール送信者はアスメルを利用しているようです。

アスメル技術マニュアル | アスメル技術サポート


ステップメールを提供する会社のようですが、私からしたら迷惑極まりない存在です。
多数のグローバルIPを使用してブロックを突破し、自動でメールを送り続けるシステムなんてネットワークリソースの無駄遣い以外の何物でもありません。迷惑メールの温床にもなっています。

アスメルが確保しているであろうIPアドレスさくらインターネットの、

133.242.94.6 mb6.asumeru005.com から 133.242.94.126 mb126.asumeru005.com

まであります。005と付いているので、まだまだあるかも知れません。

清水 卓弥の迷惑メールで困っている方はこちらから通報されてはどうでしょう。

https://1lejend.com/abuse


間違ってもメール本文内の配信停止リンクをたどってはダメです。
反応があったメールアドレスとして横流しされ、迷惑メールを増やすだけです。

さて、HTTPアクセスからASPがどこか探ってみます。
どうやってHTTPアクセスを確認するのかわからない方は、「HTTPアクセス」や「HTTPプロトコル」等で色々検索してみて下さい。
私は、Firefoxのアドオン「Live HTTP headers」を使ってます。シンプルで見やすいです。

2017/04/30追記

マルウェア化したとのページを見つけたので、使用中止しました。

詳しくはこちら:Live HTTP headersマルウェア化について - MuramatsuGroupKiller spam Library


で、メールアドレスを打ち込んで登録してからのHTTPアクセスを調べてみると、

http://failnaught.jp/c/groups/ku/

にアクセスしていました。
failnaught.jpを調べてみると株式会社フェイルノートのドメインで、この会社はF-1アフィリエイトセンターというASPでもあります。
IPアドレスは157.112.152.16、エックスサーバー上にいます。
failnaught.jpにアクセスするとHPが表示されますが、会社情報が一切ありません。

Google検索にかけてみると商材詐欺やアフィリエイト料未払いなどの情報が山のように出てきます。

こんな詐欺会社、金銭の受け渡しなんて考えられません。
トラブルになっても、詐欺師共の所在を掴むのは困難でしょう。
警察がエックスサーバーに立ち入り捜査でもしない限り。

商材がどうのこうの以前の問題です。
皆さん、絶対に騙されないで下さい。