ゲーム

プライバシーだけに頼るだけで十分ですか?中東および北アフリカを標的とした大規模なフィッシングキャンペーンのレビュー



Is It Enough Rely Solely Privacy



概要

  • アムネスティは、中東と北アフリカの何百人もの市民から電子メールの資格情報を盗むように設計された、同じ攻撃組織によって開始される可能性のある2つのフィッシングキャンペーンを特定しました。
  • アクティビティの1つで、攻撃者は、TutanotaやProtonMailなどの「安全な電子メール」サービスであると主張するアカウントを標的にしました。
  • 別のキャンペーンでは、攻撃者は数百のGoogleおよびYahooの電子メールアカウントを標的とし、現在広く採用されている2要素認証(2FA)を無事に破りました。

前書き

ターゲットを監視するために使用される多くのツールと戦術から、フィッシングは依然として世界中の市民を攻撃する最も一般的な手段の1つです。ますます多くの人権擁護家がこの脅威によって引き起こされる害に気づき始めており、彼らの多くはこの脅威に対する防御能力を向上させるために対応する措置を講じています。これには通常、より安全で敬意のある電子メールサービスを使用するか、オンラインアカウントで2要素認証を有効にすることが含まれます。

フィッシングとは何ですか?通常、特定のオンラインサービス(Gmailなど)のモックを作成する必要があります またはFacebook このWebサイトの目的は、攻撃対象が悪意のあるログインページにアクセスし、そのユーザー名とパスワードを入力して資格情報を攻撃者に送信するように仕向けることです。



Facebookを模倣する フィッシングWebサイトの例



ただし、攻撃者は常にテクノロジーを改善しています。レポートには2つのフィッシングキャンペーンが記録されており、アムネスティインターナショナルは、人権擁護家、ジャーナリスト、政治家など、中東と北アフリカに数百人の市民がいる湾岸諸国の同じ攻撃組織によって2つの活動が開始される可能性が高いと考えています。俳優。

これらの2つの活動で気がかりなのは、事実を使用してターゲットを証明していることです。彼らが採用しているデジタルセキュリティ戦略は非常に「揺るぎない」ものです。たとえば、最初のアクティビティでは、攻撃者は、よく知られている「安全な電子メール」サービスプロバイダーを模倣するように設計された、適切に設計された偽のWebサイトを使用しました。さらに厄介なのは、攻撃者が現在最も安全であると考えられている2要素認証を無効にした2番目のアクティビティです。実際、アムネスティインターナショナルの調査によると、他の多くの攻撃組織もこのテクノロジーを開発しています。

要約すると、これらの活動は間違いなく、フィッシングが依然として差し迫った脅威であることを私たちに思い出させています。特に、人権擁護家はこれをもっと意識する必要があります。



「安全な電子メール」サービスを模倣するように設計されたフィッシングサイト

アムネスティは、人気のある電子メールサービスであるTutanotaとProtonMailを模倣するように設計されたいくつかのフィッシングサイトを確認しました。両社は「安全な電子メール」サービスを提供していると主張しているため、人権擁護家の間で非常に人気があります。

これらのフィッシングサイトには、目標を真と偽で区別することを困難にする要素が多かれ少なかれ含まれています。たとえば、攻撃者はtutanota.orgドメイン名を使用し、Tutanota Webサイトからほぼ完全にコピーされたコンテンツを使用しましたが、TutanotaWebサイトのドメイン名は実際にはtutanota.comです。

多くのユーザーは、これらのオンラインサービスプロバイダーが.com、.org、.netなどのトップレベルドメインを他人の手に渡らせることは決してできないことを当然のことと考えています。攻撃者は、この固有の概念を利用して、フィッシングサイトをよりリアルに見せています。さらに、これらの偽のWebサイトは「http://」ではなく「https://」を使用しているため、ターゲットはブラウザのアドレスバーの左側にあるロックフラグを使用して、正当なWebサイトと悪意のあるWebサイトを区別できません。

ターゲットがフィッシングサイトにログインしている場合、その資格情報が盗まれてから実際のTutanotaサイトページにリダイレクトされるため、ターゲットが被害者になったことを発見できません。

このフィッシングサイトの明らかな欺瞞を考慮して、アムネスティインターナショナルは、進行中のフィッシング攻撃についてTutanotaスタッフに連絡しました。

さらに、攻撃者は、もう1つの人気のある「安全な電子メール」サービスであるProtonMailを模倣したprotonemail.chと呼ばれるフィッシングWebサイトを構築しました。正規のウェブサイトprotonmail.chと非常によく似ていますが、ドメイン名の違いは文字「e」の追加だけです。

「ログイン」ボタンをクリックすると、被害者は偽のログインページに入ります。

明らかに、ユーザー名とパスワードを送信すると、攻撃者によってアカウントの資格情報が盗まれる可能性があります。

GoogleおよびYahooメールユーザー向けのフィッシングキャンペーン

2017年から2018年にかけて、中東と北アフリカの人権擁護家とジャーナリストは、疑わしい電子メールをアムネスティ・インターナショナルと共有してきました。これらの電子メールの分析を通じて、アムネスティインターナショナルは、数百人、さらには数千人を対象とした大規模な継続的なフィッシングキャンペーンを発見しました。その中で、ターゲットのほとんどはアラブ首長国連邦、イエメン、エジプト、パレスチナからのものです。

アムネスティ・インターナショナルによって発見されたイベントは、カリフォルニア大学バークレー校の研究者であるビル・マルザックと共同で行われていることは注目に値します。 テクニカルレポート セクション2.4.2で言及されている攻撃のいくつかの間には直接的な関連があり、これらの攻撃はUAEの反体制派を対象としています。

さらなる調査の結果、アムネスティインターナショナルは、このイベントは、前のセクションで述べたTutanotaとProtonMailのWebサイトに対する同じ攻撃組織によって開始された可能性が高いと結論付けました。上記のアクティビティと同様に、このイベントでは、GoogleとYahooなどの適切に設計されたフィッシングサイトも使用されました。ただし、上記のアクティビティとは異なり、このアクティビティでは、ターゲットで使用されている2要素認証も無効になります。

偽のセキュリティアラートを装ったフィッシングメール

このアクティビティでは、攻撃者は単純なソーシャルエンジニアリング手法である「セキュリティアラート」スキームを使用しました。これには、偽のアカウントを介してターゲットに誤ったセキュリティアラートを送信することが含まれていました。このアプローチは、ターゲットのパニックを利用して緊急性を生み出します。アカウントのセキュリティを確保し、電子メールログインが必要であり、パスワードがすぐに変更されることをターゲットに通知します。人権擁護家のコミュニティは、個人およびデジタルのセキュリティに特に注意を払っているため、このようなソーシャルエンジニアリングプログラムは多くの場合、より成功しています。

以下に示すように、これは攻撃者から標的に送信されたフィッシングメールの例です。

これは、同様のソーシャルエンジニアリングソリューションを使用する別のフィッシングメールです。

これらの悪意のある電子メールのリンクまたはボタンをクリックすると、適切に設計されたGoogleフィッシングサイトにリダイレクトされます。攻撃組織が定期的に新しいWebサイトを置き換え、新しいインフラストラクチャを使用して発見されないようにすることは注目に値します。このレポートの最後に、アムネスティ・インターナショナルによって確認されたすべての悪意のあるWebサイトのドメイン名を見つけることができます。

Googleの攻撃を模倣するほど一般的ではありませんが、アムネスティインターナショナルの研究者は、Yahooユーザーに対するフィッシング攻撃を観察しています。

フィッシング攻撃はどのように実行されますか?

フィッシングページの機能を確認するために、アムネスティインターナショナルの研究者は、テスト用のGoogleアカウントを作成し、上のフィッシングメールのボタンをクリックしてフィッシングページを開きました。

フィッシングページを開いた後、研究者は別のページにリダイレクトされました。このページで、研究者は、SMSを介してアカウントを登録するために使用された電話番号に2桁の2要素認証検証コードを送信するように求められました。

実際、研究者によって設定された電話番号は、有効なGoogle確認コードを含むテキストメッセージを受信しました。研究者がフィッシングページに資格情報と2要素認証確認コードを入力して送信すると、次のフォームが表示され、研究者にアカウントのパスワードをリセットするように求められました。

ほとんどのユーザーにとって、Googleからのパスワードプロンプトの変更については何も奇妙なことではないようです。しかし、研究者の分析によると、ここで変更されたパスワードのヒントは、実際にはWindowsホストを制御している攻撃者によって送信されています。 IPアドレスは米国のものです(IPアドレスは196.19.3.66ですが、攻撃者は実際にはSquid HTTPプロキシを使用してフィッシングサーバーの実際の場所を隠しています)。

実際、バウチャーだけを盗む場合、この手順は完全に不要です。研究者たちは、攻撃者が彼の社会工学プログラムをより完全にするためにそのような追加の措置を講じていると信じており、それによって被害者の疑いを回避しています。

いずれにせよ、最終ステップを完了した後、研究者は正当なGoogleページにリダイレクトされました。同時に、攻撃者は研究者の資格情報を盗むことに成功しました。

同様に、研究者はテスト用のYahooアカウントを作成し、2要素認証検証コードの受信に使用できる電話番号を設定しました。

研究者がYahoo!に新しく作成したメールアドレスとパスワードを入力したときフィッシングページでは、研究者は最初にアカウントに関連付けられた電話番号を確認するように求められました。

次に、研究者は自分の携帯電話に送信された確認コードを入力するように求められました。

実際、研究者たちは有効なYahoo!検証コード。

攻撃者はどのようにして2要素認証を打ち負かしますか?

GoogleとYahoo!をホストしているサーバーがフィッシングサイトが誤って一部のファイルディレクトリを公開したため、研究者は攻撃者の計画の詳細を発見することができます。 '/ setup /'フォルダーには、攻撃者がフィッシングページから取得した資格情報を保存するために使用するSQLデータベーススキーマが含まれています。

'/ bin /'フォルダーには、WebアプリケーションをテストするためのツールであるSeleniumインストーラー(Chromeバージョン)が含まれています。 Seleniumを使用すると、ユーザーはカスタムスクリプトを使用してブラウザーの構成と起動を自動化し、任意のWebサイトに自動的にアクセスして、ページ上でさまざまなアクション(ボタンのクリックなど)を実行できます。

Seleniumを開発する当初の意図は、Web開発者の品質検証作業を簡素化することでしたが、フィッシング攻撃を簡素化することも証明されています。上記の攻撃では、攻撃者はそれを使用してソフトウェアベースの2要素認証を無効にしました。

「/ profiles /」と呼ばれる別のフォルダーには、Seleniumによって生成された何百ものフォルダーが含まれ、実際にはさまざまなカスタムスクリプトの結果が含まれています。

これらのフォルダは一般公開されているため、研究者は、フォルダに含まれるデータを確認することで、アカウントがどのように侵害されたかを確認できます。

これらのChromeフォルダを分析することにより、研究者は2つの攻撃方法を特定しました。

最初の方法では、Seleniumを使用して次の合法的なYahoo!に自動的にアクセスします。検証プロセスを完了するために被害者から提供された自動入力資格情報と2要素認証検証コードを含むログインページ。

  1. hxxps://mail.yahoo.com/
  2. hxxps://guce.yahoo.com/consent?brandType = nonEu&gcrumb = [編集済]&done = hxxps%3A%2F%2Fmail.yahoo.com%2F
  3. hxxps://login.yahoo.com/?done = hxxps%3A%2F%2Fmail.yahoo.com%2F
  4. hxxps://login.yahoo.com/account/challenge/push?done = hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism = primary&display = login&yid = [編集済み]&sessionIndex = QQ-&acrumb = [編集済み]
  5. hxxps://login.yahoo.com/account/challenge/phone-obfuscation?done = hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism = primary&display = login&yid = [編集済み]&acrumb = [編集済み]&sessionIndex = QQ- -&eid = 3640
  6. hxxps://login.yahoo.com/account/challenge/phone-verify?done = hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism = primary&display = login&yid = [編集済み]&acrumb = [編集済み]&sessionIndex = QQ- -
  7. hxxps://login.yahoo.com/account/challenge/pre-change-password?done = hxxps%3A%2F%2Fguce.yahoo.com%2Fconsent%3Fgcrumb%3D [編集済み]%26trapType%3Dlogin%26done%3Dhxxps %253A%252F%252Fmail.yahoo.com%252F%26intl%3D%26lang%3D&authMechanism = prime $
  8. hxxps://login.yahoo.com/account/security/app-passwords/list
  9. hxxps://login.yahoo.com/?done = hxxps%3A%2F%2Flogin.yahoo.com%2Faccount%2Fsecurity%2Fapp-passwords%2Flist%3F.scrumb%3D0
  10. hxxps://login.yahoo.com/account/security/app-passwords/list?.scrumb = [編集済]
  11. hxxps://login.yahoo.com/account/security/app-passwords/add?scrumb = [編集済]

認証された後、攻撃者は引き続き「アプリパスワード」と呼ばれるアプリケーション固有のパスワードを作成します。これにより、サードパーティのアプリケーションは2要素認証検証コードを使用せずに特定のサービス(Yahooを含む)にアクセスできます。アカウント。たとえば、ユーザーはOutlook経由でYahooメールを表示できます。したがって、このアプリパスワードは、アカウントにアクセスするときに追加の2要素認証を必要としないため、攻撃者が被害者のアカウントに継続的にアクセスするために使用するのに理想的です。

2番目の攻撃方法には、攻撃者が被害者のアカウントのクローンを作成しようとする「アカウント移行」が含まれます。つまり、被害者のアカウントから攻撃者が制御するアカウントに電子メールと連絡先リストをコピーします。この攻撃方法では、攻撃者はSeleniumを使用して、被害者のアカウントの認証プロセスを自動化することにより、いくつかのリンクにアクセスする必要があります。

  1. hxxps://mail.yahoo.com/
  2. hxxps://guce.yahoo.com/consent?brandType = nonEu&gcrumb = [編集済]&done = hxxps%3A%2F%2Fmail.yahoo.com%2F
  3. hxxps://login.yahoo.com/?done = hxxps%3A%2F%2Fmail.yahoo.com%2F
  4. hxxps://login.yahoo.com/account/challenge/password?done = hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism = primary&display = narrow&yid = [編集済み]&sessionIndex = QQ-&acrumb = [編集済み]
  5. hxxps://login.yahoo.com/account/challenge/phone-obfuscation?done = hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism = primary&display = narrow&yid = [編集済み]&acrumb = [編集済み]&sessionIndex = QQ- -&eid = 3650
  6. hxxps://login.yahoo.com/account/challenge/phone-verify?done = hxxps%3A%2F%2Fmail.yahoo.com%2F&authMechanism = primary&display = narrow&yid = [編集済み]&acrumb = [編集済み]&sessionIndex = QQ- -
  7. hxxps://login.yahoo.com/account/yak-opt-in/upsell?done = hxxps%3A%2F%2Fguce.yahoo.com%2Fconsent%3Fgcrumb%3D [編集済み]%26trapType%3Dlogin%26done%3Dhxxps %253A%252F%252Fmail.yahoo.com%252F%26intl%3D%26lang%3D&authMechanism = primary&display = n $
  8. hxxps://guce.yahoo.com/consent?brandType = nonEu&gcrumb = [編集済]&done = hxxps%3A%2F%2Fmail.yahoo.com%2F
  9. hxxps://mail.yahoo.com/m/
  10. hxxps://mg.mail.yahoo.com/neo/m/launch?
  11. hxxps://mg.mail.yahoo.com/m/
  12. hxxps://mg.mail.yahoo.com/m/folders/1
  13. http://www.gmail.com/
  14. hxxps://www.gmail.com/
  15. hxxps://www.google.com/gmail/
  16. hxxps://mail.google.com/mail/
  17. hxxps://accounts.google.com/ServiceLogin?service = mail&passive = true&rm = false&continue = hxxps://mail.google.com/mail/&ss=1&scc=1<mpl=default<mplcache=2&emr=1&osid=1#
  18. hxxps://mail.google.com/intl/en/mail/help/about.html#
  19. hxxps://www.google.com/intl/en/mail/help/about.html#
  20. hxxps://www.google.com/gmail/about/#
  21. hxxps://accounts.google.com/AccountChooser?service = mail&continue = hxxps://mail.google.com/mail/
  22. hxxps://accounts.google.com/ServiceLogin?continue = hxxps%3A%2F%2Fmail.google.com%2Fmail%2F&service = mail&sacu = 1&rip = 1
  23. hxxps://accounts.google.com/signin/v2/identifier?continue = hxxps%3A%2F%2Fmail.google.com%2Fmail%2F&service = mail&sacu = 1&rip = 1&flowName = GlifWebSignIn&flowEntry = ServiceLogin
  24. hxxps://accounts.google.com/signin/v2/sl/pwd?continue = hxxps%3A%2F%2Fmail.google.com%2Fmail%2F&service = mail&sacu = 1&rip = 1&flowName = GrifWebSignIn&flowEntry = ServiceLogin&cid = 1&navigationDirection = forward
  25. hxxps://accounts.google.com/CheckCookie?hl = en&checkedDomains = youtube&checkConnection = youtube%3A375%3A1&pstMsg = 1&chtml = LoginDoneHtml&service = mail&continue = hxxps%3A%2F%2Fmail.google.com%2Fmail%2F&gidl = [編集済み]
  26. hxxps://mail.google.com/accounts/SetOSID?authuser = 0&continue = hxxps%3A%2F%2Fmail.google.com%2Fmail%2F%3Fauth%3D [編集済]
  27. hxxps://mail.google.com/mail/?auth = [編集済]。
  28. hxxps://mail.google.com/mail/u/0/
  29. hxxps://mail.google.com/mail/u/0/#inbox
  30. hxxps://mail.google.com/mail/u/0/#settings/general
  31. hxxps://mail.google.com/mail/u/0/#settings/accounts
  32. hxxps://mail.google.com/mail/u/0/?ui = 2&ik = [編集済]&jsver = OeNArYUPo4g.en。&view = mip&fs = 1&tf = 1&ver = OeNArYUPo4g.en。&am = [編集済]
  33. hxxps://api.shuttlecloud.com/gmailv2/authenticate/oauth/ [REDACTED]%40yahoo.com?ik = [REDACTED]&email = [REDACTED] @ yahoo.com&user = 0&scopes = contactsmigration、emailmigration
  34. hxxps://api.login.yahoo.com/oauth2/request_auth?client_id = [編集済]&redirect_uri = hxxps%3A // api.shuttlecloud.com / gmailv2 / authenticate / oauth / c $
  35. hxxps://api.login.yahoo.com/oauth2/authorize
  36. hxxps://api.shuttlecloud.com/gmailv2/authenticate/oauth/callback?email = [編集済み]&code = [編集済み]
  37. hxxps://mail.google.com/mail/u/0/?token_id = [編集済み]&ik = [編集済み]&ui = 2&email = [編集済み]%40yahoo.com&view = mas

上記のURLリストから、攻撃者が盗んだ資格情報を使用して被害者のYahooメールにログインしようとし、被害者に2要素認証検証コードの入力要求を送信したことがわかります。認証が通過すると、フィッシングページは侵害されたYahooメールアカウントを「ShuttleCloud」と呼ばれる正当なアカウント移行サービスに接続します。これにより、攻撃者は被害者のYahooアカウントの複製アカウントを生成できます。 Gmailアカウントを管理します。その結果、攻撃者はGmailが提供する機能を使用して、被害者の電子メールアカウントを介して送受信されたすべての電子メールをいつでも表示できます。

IOC

tutanota [。] org

プロトンメール[。] ch

アカウント-mysecure [。] com

アカウント-mysecures [。] com

アカウント-secuirty [。] com

アカウント-セキュリティ[。] com

アカウント-servicse [。] com

アカウント設定[。] com

アカウント-facebook [。] com

アカウント-mysecure [。] com

アカウント-プライバシー[。] com

アカウント-privcay [。] com

account-servics [。] com

account-servicse [。] com

alert-newmail02 [。] pro

アプリケーション-セキュア[。] com

アプリケーション-セキュリティ[。] com

application-secure [。] com

承認-myaccount [。] com

blu142-ライブ[。] com

blu160-live [。] com

blu162-ライブ[。] com

blu165-ライブ[。] com

blu167-ライブ[。] com

blu175-ライブ[。] com

blu176-ライブ[。] com

blu178-ライブ[。] com

blu179-ライブ[。] com

blu187-ライブ[。] com

browsering-check [。] com

browsering-checked [。] com

browsers-checked [。] com

ブラウザ-セキュア[。] com

browsers-secures [。] com

ブラウザチェック済み[。] com

browser-secures [。] com

bul174-ライブ[。] com

チェックブラウザ[。] com

check-activities [。] com

check-browser [。] com

check-browsering [。] com

check-browsers [。] com

接続済み-myaccount [。] com

connect-myaccount [。] com

data-center17 [。]ウェブサイト

ドキュメント-表示[。] com

ドキュメント-ビューア[。] com

ドキュメントビューア[。] com

go2myprofile [。]情報

go2profiles [。]情報

googledriveservice [。] com

gotolinks [。] top

goto-newmail01 [。] pro

idmsa-login [。] com

inbox01-email [。] pro

inbox01-gomail [。] com

inbox01-mails [。] icu

inbox01-mails [。] pro

inbox02-アカウント[。]プロ

inbox02-メール[。] icu

inbox02-mails [。] pro

inbox03-アカウント[。]プロ

inbox03-mails [。] icu

inbox03-mails [。] pro

inbox04-アカウント[。]プロ

inbox04-mails [。] icu

inbox04-mails [。] pro

inbox05-アカウント[。]プロ

inbox05-mails [。] icu

inbox05-mails [。] pro

inbox06-アカウント[。]プロ

inbox06-mails [。] pro

inbox07-アカウント[。]プロ

inbox101-account [。] com

inbox101-accounts [。] com

inbox101-アカウント[。]情報

inbox101-アカウント[。]プロ

inbox101-live [。] com

inbox102-account [。] com

inbox102-live [。] com

inbox102-mail [。] pro

inbox103-アカウント[。] com

Inbox103-mail [。] pro

inbox104-アカウント[。]プロ

inbox105-アカウント[。]プロ

inbox106-アカウント[。]プロ

Inbox107-アカウント[。]プロ

inbox108-アカウント[。]プロ

inbox109-アカウント[。]プロ

inbox169-live [。] com

inbox171-live [。] com

inbox171-ライブ[。]プロ

inbox172-live [。] com

inbox173-live [。] com

inbox174-live [。] com

inbox-live [。] com

inbox-mail01 [。] pro

inbox-mail02 [。] pro

受信トレイ-myaccount [。] com

mail01-inbox [。] pro

mail02-inbox [。] com

mail02-inbox [。] pro

mail03-inbox [。] com

mail03-inbox [。] pro

mail04-inbox [。] com

mail04-inbox [。] pro

mail05-inbox [。] pro

mail06-inbox [。] pro

mail07-inbox [。] pro

mail08-inbox [。] pro

mail09-inbox [。] pro

mail10-inbox [。] pro

mail12-inbox [。] pro

mail13-inbox [。] pro

mail14-inbox [。] pro

mail15-inbox [。] pro

mail16-inbox [。] pro

mail17-inbox [。] pro

mail18-inbox [。] pro

mail19-inbox [。] pro

mail20-inbox [。] pro

mail21-inbox [。] pro

mail101-inbox [。] com

mail101-inbox [。] pro

mail103-inbox [。] com

mail103-inbox [。] pro

mail104-inbox [。] com

mail104-inbox [。] pro

mail105-inbox [。] com

mail105-inbox [。] pro

mail106-inbox [。] pro

mail107-inbox [。] pro

mail108-inbox [。] pro

mail109-inbox [。] pro

mail110-inbox [。] pro

mail201-inbox [。] pro

メール受信ボックス[。]プロ

郵送-noreply [。] pro

myaccountes-設定[。] com

myaccountes-設定[。] com

myaccountsetup [。] live

myaccounts-login [。] com

myaccounts-profile [。] com

myaccounts-secuirty [。] com

myaccounts-secures [。] com

myaccounts-settings [。] com

myaccounts-settinq [。] com

myaccounts-settinqes [。] com

myaccounts-転送[。] com

myaccount-inbox [。] pro

myaccount-logins [。] com

myaccount-redirects [。] com

myaccount-setting [。] com

myaccount-settinges [。] com

myaccount-settings [。] ml

myaccount-setup [。] com

myaccount-setup1 [。] com

myaccount-setups [。] com

myaccount-transfer [。] com

myaccount [。] verification-approve [。] com

myaccount [。] verification-approves [。] com

myaccuont-settings [。] com

mysecures-accounts [。] com

mysecure-account [。] com

mysecure-accounts [。] com

newinbox-accounts [。] pro

newinbox01-accounts [。] pro

newinbox01-mails [。] pro

newinbox02-accounts [。] pro

newinbox03-accounts [。] pro

newinbox05-アカウント[。]プロ

newinbox06-アカウント[。]プロ

newinbox07-accounts [。] pro

newinbox08-accounts [。] pro

newinbox-account [。] info

newinbox-accounts [。] pro

noreply [。]および

noreply-accounts [。] site

noreply-mailer [。] pro

noreply-mailers [。] com

noreply-mailers [。] pro

noreply-myaccount [。] com

プライバシー-myaccount [。] com

privcay-setting [。] com

プロファイル設定[。] com

リカバリ設定[。]情報

リダイレクト-ログイン[。] com

リダイレクト-ログイン[。]情報

リダイレクション-ログイン[。] com

リダイレクション-ログイン[。] com

リダイレクト-myaccount [。] com

royalk-uae [。] com

securesmails-alerts [。] pro

セキュア-アプリケーション[。] com

secures-browser [。] com

secures-inbox [。] com

secures-inbox [。] info

セキュア-settinqes [。] com

セキュリティで保護-転送[。] com

保護-転送[。] com

secure-browsre [。] com

secure-settinqes [。] com

security-settinges [。] com

securtiy-settings [。] com

services-securtiy [。] com

設定-セキュリティ[。] com

設定-privcay [。] com

settinqs-myaccount [。] com

settinq-myaccounts [。] com

thx-me [。]ウェブサイト

転送-[。]をクリックします

transfer-clicks [。] com

truecaller [。] services

urllink [。] xyz

検証-承認[。] com

検証-承認[。] com

検証-承認[。] com

xn--mxamya0a [。] ccn

yahoo [。] llc