web-dev-qa-db-ja.com

[email protected]から送信されなかったメッセージを含む2つの「配信ステータス通知(失敗)」メールを受信しました。これは攻撃ですか?

約1〜2時間前に、postmaster @ hotmail.comから、「配信ステータス通知(失敗)」というタイトルと本文が付いた個人用メールが2通届きました。

これは自動的に生成された配信状態通知です。

以下の受信者への配信に失敗しました。

   (email I never heard of)

電子メールには2つの添付ファイルがあります。details.txtには次の内容が含まれています。

Reporting-MTA:dns; SNT004-IMC1S8.hotmail.com Received-From-MTA:dns; SNT004-MC5F5.hotmail.com Arrival-Date:Fri、2 Jun 2017 11:03:56 -0700

最終受信者:rfc822;(聞いたことのないメール)アクション:失敗ステータス:5.5.0診断コード:smtp; 550要求されたアクションは実行されません:メールボックスを利用できません(-506263085:397:0)

my Outlookのログイン資格情報を含む「You've Got Postcard」というOutlookアイテム。

これは既知の詐欺またはマルウェア攻撃ですか?私はOutlookを使用していますが、残念ながらプレビューウィンドウに両方のメールが表示されていました。私が理解していることから、感染の可能性に関してメールを直接開くのと同じくらい悪いのです。

更新:「You've got Postcard」メールのリンク先のWebサイトは、wintergate dot com slash controlsk dot php(偶発的なアクセスを避けるためにエスケープされています)です。資格情報(役立つ場合)の1つは、パスワード「BIZ」+「K7」を使用したkkrasa、ドメインmsn、トップレベルドメインcom(エスケープされたエスケープ)です。

はがきメールのダイレクトHTMLに興味がある場合は、 https://Pastebin.com/twSL5v4a にあります。私は元のメールをすでに削除しているので、これ以上のものを提供することはできません(これはNotepad ++キャッシュにありました)。

malwareemailspam
2
Nzall

これは非常に一般的なタイプのフィッシングです。最も可能性が高いのは、送信者(From:)としてあなたのアドレスを偽装し、意図的にバウンスを引き起こす可能性があるため、メールを取得/開くことです。

それは悪いのであなたは正しいです。これは、電子メールがHTMLエンコードされていて、悪意のある何かを実行している可能性があり、それを知らない場合に特に当てはまります。

プレーンテキストモードのみでOutlookを実行する場合、常にはるかに安全であり、おそらく信頼できるソースからのHTMLメールのみをロードします。あなたの別のオプションは、あなたのウィンドウを使用すること(おそらく)がそのOutlookを引き起こすので、あなたはあなたのアンチウイルスにあなたの電子メールをより安全にスキャンさせることができます。

繰り返しになりますが、私は安全のためにプレーンテキストでメールを表示することをオプトアウトします。

4
takumi

メッセージにHTMLが含まれている場合は、ビーコンが埋め込まれている可能性があるため、プレーンフィッシングである可能性が高いです。メッセージの表示時にダウンロードされた画像は、スパマー/詐欺師が使用して、メールが実際のアドレスに送信されたことを確認できます。匠が言ったように、MTAで利用可能な場合はプレーンテキストを使用し、プレビューと画像の読み込みを無効にします。

メールヘッダーを調べて、メッセージが実際に、MTAの表示可能な「From」フィールドのアドレスに代わって送信することを許可されたサーバーから発信されたものかどうかを判断する必要があります。このような場合(DSN、バウンス通知など)、ヘッダーのリレーのチェーンを調べて、「postmaster」がメッセージの送信元であると主張しているドメインのpostmasterであることを確認します。 MicrosoftはDKIMヘッダーでメッセージに署名します。これらは、有効性を判断するためにも使用できます。メールサーバー(またはプロバイダーのサーバー)はこれをチェックし、スパムチェックプロセスの一部として使用する必要がありますが、多くの場合はチェックしません。ヘッダーを読みたい場合は、ヘッダーを投稿してください。その影響に注意してください。自分のアドレスが自分のものであることを「攻撃者」に知らせたくない場合は、ここに投稿しないでください。

OWAを使用している場合は、プレビューメッセージのコンテンツ(およびリモート画像やその他の添付ファイル)がWebメールサーバーによって取得されて中継され、少なくとも送信者にIPが公開されない可能性があります。

1
Eli Heady