2012年06月16日

UPSを騙るマルウェアスパム

 個人情報保護への抗議も大事だが、どうしても世の人のために書かねばならんこともあり、また一筆。

 国際貨物航空会社のUPSを騙ったスパムメールは過去いくつかお伝えしました。
2008年9月11日
2009年5月29日
2010年7月2日
2010年10月17日

 その他DHL(と別エントリ)、USPSなんてのも。

 これらはメールにマルウェア(ウィルス)が添付されて来たものです。今日は別の手口でやってきたので急報します。
送信者: "UPS Quantum View" (auto-notify@ups.com)
件名 : Your UPS shipment tracking number.
日時 : 2012年6月16日 1:39
Discover more about UPS: Visit www.ups.com Sign Up For Additional E-Mail From UPS Read Compass Online


This message was sent to you at the request of ICRealtime Security Solutions LLC to notify you that the electronic shipment information below has been transmitted to UPS. The physical package(s) may or may not have actually been tendered to UPS for shipment. To verify the actual transit status of your shipment, click on the tracking link below or contact ICRealtime Security Solutions LLC directly. Important Delivery Information Scheduled Delivery: 09-May-2012 Shipment Detail
Ship To: (注:末期ぃのとよく似たメールアドレス) CSI SECURITY 2269 JEFFERIES HWY. WALTERBORO SC 29488 US Number of Packages: 1
UPS Service: GROUND
Weight: 9.0 LBS

Tracking Number: 1ZX603R40369384687
Reference Number 1: 47479
Reference Number 2: 20872
Click here to track if UPS has received your shipment or visit http://www.ups.com/WebTracking/track?loc=en_US on the Internet. ____2@@2@@2wowT7qQAXmBSs4ogrWusagY4wa____

2012 United Parcel Service of America, Inc. UPS, the UPS brandmark, and the color brown are trademarks of United Parcel Service of America, Inc. All rights reserved. For more information on UPS's privacy practices, refer to the UPS Privacy Policy. Please do not reply directly to this e-mail. UPS will not receive any reply message. For questions or comments, visit Contact UPS. This communication contains proprietary information and may be confidential. If you are not the intended recipient, the reading, copying, disclosure or other use of the contents
of this e-mail is strictly prohibited and you are instructed to please delete this e-mail immediately.
Privacy Notice Contact UPS
 本文にタブがいっぱい入っていて、表示が乱れて読みづらいので編集しました。このメールはHTML表示ではこのようになります。(クリックすると別ウィンドウが開きます)
UPSスパムHTML表示
 このスパムの送信元が偽造されており、辿れる限りではアルゼンチン・ルハン発でした。

 例によって私宛荷物に対して“ICRealtime Security Solutions LLC”という機関の要請でこのメールが出され、荷物の配送状況を調べるなら「ここをクリック」、とのこと。

 この本文のTracking Number:”1ZX603R40369384687”の部分や“Click here”の文字をクリックすると、誘導URLへ飛びます。

 今回は未知のメカニズムのため、私のPCのブラウザで直接訪れたのでなく“aguse.jp”のゲートウェイ機能を利用しましたので、これも紹介しておきます。
 aguse.jp(http://www.aguse.jp/のトップはこんなページです。
aguse.jpaguse.jp
 ゲートウェイの文字をクリックするとこのページに行きます。
aguse GATEWAYGATEWAY
 調べたいURLを検索窓にコピペして、GOをクリックすると調査を開始します。利用者は怪しいサイトを直接訪れるのでなく、検索結果はただの画像であり、安全です。
 皆様が怪しいサイトに踏み込むことはお勧めしませんが、もし調べる必要が生じたらaguse.jpを利用して下さい。このサービスはかつてブースカさんに教わりました。

 で、調査結果画面はこの通りです。
偽UPS偽ページ
 もし直接訪れた場合、白いページにInportant Delivery Infomation以下の文字が出るのみです。

 “Tracking Number:Loding..”とあって、受付番号から荷物の行方を調査中、と思えますが、おそらくこのまま表示は動かないでしょう。
 キャプチャ画像の右のほうに、カスペルスキーからの情報で、HEUR:Trojan.Script.Genericと出ています。

 この偽ページのスクリプトが閲覧者のマシンに、マルウェア(トロイの木馬型)を仕込んでくる仕掛けのようです。
 ああ、直接訪れなくてよかった。

 なお3:45にも“Track your UPS delivery online.”と題して同様のスパムが届きました。これはリトアニアのマジェイケイ発。

 英文スパムなので気にする方は少数かもしれませんが、お気をつけ下さい。

 なお、スパムにあるトラックナンバー:1zx603r40369384687は実在したアメリカ国内発着の荷物のもののようです。
(13:45追記)
 スパムの文面は、実際にUPSから荷物の受取人に送られる、出荷通知メールを模したもののようです。
posted by 末期ぃ at 04:34 | 新潟 | 対策と注意点 | Comment(3) | TrackBack(0)
この記事へのコメント
私にも同じ宛先から届きました!!
ここを見ておいてよかったです。。。
Posted by mori at 2013年06月18日 10:32
そういえば、それより前に◯◯◯9676556@vodafone.com
とゆう似たような宛先から、4件のzipファイルのみのメールが来てました。

解凍してもexeの拡張子で、開けなかったです。

このスパムメールと関係あるんですかね???


7年目で初めてスパムメールが来たので、思わず開いてしまいました。。。キケンキケン
Posted by mori at 2013年06月18日 10:37
コメントありがとうございます。

このような、荷物配送会社を装うスパムメールは当ブログでもいくつか紹介しておりますが、繰り返しばら撒かれる模様で、いまも一定の検索アクセスがあります。
被害の予防に役立ったのであれば幸いです。

今後とも発信元の怪しいスパムの添付ファイルは開かないようお願いします。
Posted by 末期ぃ at 2013年06月19日 21:25
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]※公開はしません

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック