title
TOP / Wiki / Diary / Profile / BBS / Mail
メッセージを送る / タイトル一覧 / タイトル一覧(カテゴリ別) /
わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。 相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。 また、この日記へのリンクは原則自由にして頂いても結構ですが、 写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。
カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, , 生活, 遊び, Drive, TV, 仕事,
過去日記:



2017年05月15日(月) [晴れ]

[Neta][Security] 悪質な詐欺サイトに引っかかりそうになった件

妹とやりとりしていた昨年末のこと。

私が家の中や車の中で使っている ロゴス 寝袋 ミニバンぴったり寝袋・-2(冬用)[最低使用温度-2度] 72600240をみて、こんな事言ってきた。

「東京の友達の家に泊まりに行ってディスニーランドに行くんだけど、布団がないので、あの寝袋、使い勝手がよかったのをみて、同じのがほしいの。通販でかって、直接友達の家に送りつけてそのまま持って帰ればいいかなって。ネットで探したら、高い! で楽天も安くないし、いろいろと探してみたんだけど、ここの通販、安いんだけど、ドメインが日本じゃなくて、怪しいんだけどどうなんだろう?」

「whoisしたら、ドメインは中国で、サーバーがトルコにあるし、SSLで暗号化もされなくて怪しい。特定商取引法に基づく表記というか会社情報をみたら、実在するんだよね。でも怪しくてかっていいのかわかんない。。。」

というこんなやりとり。


私はオフシーズンにセールで買ったので7500円ほどだったけど、今は、14,000円ぐらいするみたい。
ってことで、おもしろい事を聞いてきたので調べてみました。 

ドメイン: bestbenefitsnursing.win [162.218.178.186]

$ whois bestbenefitsnursing.win
Domain Name: bestbenefitsnursing.win
Domain ID: D4301390-WIN
WHOIS Server:
Referral URL: www.west263.hk
Updated Date:
Creation Date: 2016-12-24T02:35:10Z
Registry Expiry Date: 2017-12-23T23:59:59Z
Sponsoring Registrar: West263 International Limited
Sponsoring Registrar IANA ID: 1915
Domain Status: ok https://icann.org/epp#ok
Registrant ID: C4296931-WIN
Registrant Name: jin tian 2 0 1 6
Registrant Organization: jin tian 2 0 1 6
Registrant Street: An Yi Xian Feng Huang An Ji Hua Yuan Xiao Qu
Registrant Street:
Registrant Street:
Registrant City: Nan Chang An Yi
Registrant State/Province: JX
Registrant Postal Code: 330507
Registrant Country: CN
Registrant Phone: +86.18956239563
Registrant Phone Ext:
Registrant Fax: +86.18956239563
Registrant Fax Ext:
Registrant Email: 123@byselljp.com
Admin ID: C4296932-WIN
Admin Name: Chen Yi Ming jintian
Admin Organization: Chen Yi Ming jintian
Admin Street: An Yi Xian Feng Huang An Ji Hua Yuan Xiao Qu
Admin Street:
Admin Street:
Admin City: Nan Chang An Yi
Admin State/Province: JX
Admin Postal Code: 330507
Admin Country: CN
Admin Phone: +86.18956239563
Admin Phone Ext:
Admin Fax: +86.18956239563
Admin Fax Ext:
Admin Email: 123@byselljp.com
Tech ID: C4296933-WIN
Tech Name: Chen Yi Ming jintian
Tech Organization: Chen Yi Ming jintian
Tech Street: An Yi Xian Feng Huang An Ji Hua Yuan Xiao Qu
Tech Street:
Tech Street:
Tech City: Nan Chang An Yi
Tech State/Province: JX
Tech Postal Code: 330507
Tech Country: CN
Tech Phone: +86.18956239563
Tech Phone Ext:
Tech Fax: +86.18956239563
Tech Fax Ext:
Tech Email: 123@byselljp.com
Name Server: ns5.myhostadmin.net
Name Server: ns6.myhostadmin.net
DNSSEC: unsigned

おもしろそうな事案だなっ!とおもい、ページを見てみると、妹がいってる会社情報と異なる。なぜ?
何度リロードしても結果は変わらないけど、環境をかえると、会社情報が異なる。
判断基準は、IPアドレスのみで、Cookieでは変化ありません。









現在は上記DNSから名前解決はできないが、hostsファイルに書いてみると確認できると思います。
さらに、見つけてみましたw
ここも偽物サイトの犯罪、詐欺サイトです。
ただし、サーバーの設定で、www.がURIに含まれているとすべて表示する設定となっていました。
wwwが無しであれば、下記のように返します。 

$ telnet 162.218.178.186 80
Trying 162.218.178.186...
Connected to .
Escape character is '^]'.
GET / HTTP/1.1
HOST: example.com

HTTP/1.1 301 Moved Permanently
Date: Tue, 16 May 2017 13:20:45 GMT
Server: Apache/2
Location: http://www.example.com/
Content-Length: 230
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>301 Moved Permanently</title>
</head><body>
<h1>Moved Permanently</h1>
<p>The document has moved <a href="http://www.example.com/">here</a>.</p>
</body></html>

ということで、該当するドメインを探し出してみました。
Google先生に聞くといろいろと情報が出てきます。 

162.218.178.186   www.attractivejp.trade             [162.218.178.186]
162.218.178.186   www.attractivejp.online            [NO RECODE]
162.218.178.186   www.badminwebnt.info               [NO RECODE]
162.218.178.186   www.brdjacket.online               [NO RECODE]
162.218.178.186   www.brdjacket.info                 [NO RECODE]
162.218.178.186   www.badminwebnt.info               [NO RECODE]
162.218.178.186   www.storagedomainmo.top            [NO RECODE]
162.218.178.186   www.exbrsedjacket.win              [NO RECODE]
162.218.178.186   www.beautifulmethod.info           [NO RECODE]
162.218.178.186   www.betterlifeye.info              [NO RECODE]
162.218.178.186   www.bestbetterlife.win             [NO RECODE]
162.218.178.186   www.lapdomainjp.top                [NO RECODE]
162.218.178.186   www.toysdomain.top                 [NO RECODE]
162.218.178.186   www.exbenenewsnursing.win          [NO RECODE]
162.218.178.186   www.cheapbadmintonset.win          [NO RECODE]
162.218.178.186   www.betterlifevip.win              [NO RECODE]
162.218.178.186   www.vipbabyhappy.win               [NO RECODE]
162.218.178.186   www.vipbrandjacket.win             [NO RECODE]
198.55.31.173    www.totebagvipby.win               [192.168.8.8] ... 書き換えられている
198.55.31.173     www.antitheftsummer.bid            [198.55.31.173]
198.55.31.173     www.beneficialwebbody.info         [NO RECODE]
198.55.31.173     www.contactlensesautumn.info       [NO RECODE]
198.55.31.173     www.musicalinstrumentsnorth.info   [NO RECODE]
198.55.31.173     www.byvenetianblind.win            [192.168.8.8] ... 書き換えられている
198.55.31.173     www.toyokstore.win                 [192.168.8.8] ... 書き換えられている
198.55.31.173     www.musicalinstrumentsnorth.info   [NO RECODE]
192.151.159.154   www.motorsbag.win                  [NO RECODE]

WHOISを引いてみました。 

$ whois attractivejp.trade
Domain Name: attractivejp.trade
Domain ID: D3D4C2D256C8C42E4853A8465A8B868BF-NSR
WHOIS Server: whois.west263.com
Referral URL: West263.com
Updated Date:
Creation Date: 2017-05-10T09:06:34Z
Registry Expiry Date: 2018-05-10T09:06:34Z
Sponsoring Registrar: Chengdu West Dimension Digital Technology Co., Ltd.
Sponsoring Registrar IANA ID: 1556
Domain Status: ok https://icann.org/epp#ok
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registrant ID: CE82F7C60A1DD4CB192573B406229E124-NSR
Registrant Name: wu yue ba
Registrant Organization: wu yue ba
Registrant Street: Zhang Jia Kou Feng Huang Cun 697hai
Registrant Street:
Registrant Street:
Registrant City: zheng zhou
Registrant State/Province: HA
Registrant Postal Code: 452471
Registrant Country: CN
Registrant Phone: +86.15896235689
Registrant Phone Ext:
Registrant Fax: +86.15896235689
Registrant Fax Ext:
Registrant Email: 123@byselljp.com
Admin ID: C459712B12D684CEBBE7860F91F61DD9A-NSR
Admin Name: yueba wu
Admin Organization: yueba wu
Admin Street: Zhang Jia Kou Feng Huang Cun 697hai
Admin Street:
Admin Street:
Admin City: zheng zhou
Admin State/Province: HA
Admin Postal Code: 452471
Admin Country: CN
Admin Phone: +86.15896235689
Admin Phone Ext:
Admin Fax: +86.15896235689
Admin Fax Ext:
Admin Email: 123@byselljp.com
Tech ID: C50DB5DF2B8B94C0BAFB8B9CE02E8D22F-NSR
Tech Name: yueba wu
Tech Organization: yueba wu
Tech Street: Zhang Jia Kou Feng Huang Cun 697hai
Tech Street:
Tech Street:
Tech City: zheng zhou
Tech State/Province: HA
Tech Postal Code: 452471
Tech Country: CN
Tech Phone: +86.15896235689
Tech Phone Ext:
Tech Fax: +86.15896235689
Tech Fax Ext:
Tech Email: 123@byselljp.com
Name Server: ns4.myhostadmin.net
Name Server: ns3.myhostadmin.net
DNSSEC: unsigned
>>> Last update of WHOIS database: 2017-05-15T04:47:17Z <<<

2つのwhoisを比べてみると、 

Tech Email: 123@byselljp.com
West263.com
162.218.178.186

が共通のようです。

いろいろと調べてみると、 国税庁法人番号公表サイトで法人番号と実在する企業情報が入手可能であり、一括で情報のダウンロードも可能です。
噂によれば、実在する法人リストを入手し、会社情報をランダムに表示しているのではないかと考えられます。

この偽物犯罪系通販サイトで装っている商品の価格は、実際に特価や特売であり得る範囲のもので、2万円以下程度のモノが多く、怪しいと思っても巧妙に作られているため、だまされてしまうようです。 気づくには、カード決済なのに、SSLで暗号化されない、WHOIS情報が怪しい、サーバーが海外にあるといったところから総合して判断するしかなく、ぱっと見た限りでは、本物と区別が付きません。会社は実在していますが、勝手に悪用された会社情報であり、ランダムに出てくるだけです。その会社が通販をしているような組織ではなく鉄工所だったりと、怪しいところはありますので、表示される会社と事業が一致しているかどうかなども見分けのポイントかとおもいます。

皆さんも気をつけましょう。

ななし  『いつも拝見しています。 同じような詐欺サイトに引っかかり、内容証明/口座凍結等の対応をしていますorz SSLの暗号化がされてない所やクレジットカード決済の明記があるのに、 何故か銀行振込のみの対応で「?」と思いつつ振り込んだのが間違いでした。 ちなみに、 >ということで、該当するドメインを探し出してみました。 >Google先生に聞くといろいろと情報が出てきます。 との事ですがどうやってIPアドレスから紐づくドメインを出されていますか.?』
[ コメントを読む(1) | コメントする ]
Diary for 1 day(s)
Powered by hns HyperNikkiSystem Project



(c) Copyright 1998-2014 tomocha. All rights reserved.