iPod touchで使っているメールアドレスに思いもよらず米国Amazonから「Order Details」というタイトルのメールが届いた。
円高の頃に利用したこともあるし、そういやJack Danielのスモークチップがずっと注残だったけどどうなったっけなあ、なんてのんきにメールを開いてみた。文面にはAmazonへのリンクがあったので普通に開いたらいつもの画面。ユーザ名も自分のものが表示されていてオーダーを確認したら何も入っていない。
あれ? なんかこれ、おかしなことになってねえか? おっと、そういえば、そういえばさ、このメールアドレスってAmazonには登録してなかったんじゃね?
遅い。気付くのが遅いよ。もうほとんど釣られてんじゃん。
再度メールを確認すると、リンクはすべて本来のAmazonであるamazon.comになっている。どうやら添付されている「order_id.zip」が悪の本体のようだ。さらにヘッダーを調べてみるとちょいちょい怪しい。
数通届いたメールのすべてがReturn-Path: <support@axorcismal.com>とかになっている。ところで脱線するけど、何通も届くってこと自体が怪しさを増幅させているから、向こうの目的としてはマイナスなんじゃね?
それぞれのメールは微妙に発信元サーバが異なっている。例えば、
Received: from alactroscopic.com ([95.65.142.92])
Received: from alactroscopic.com (jggw1.network.jensen.ru [195.144.249.4])
Received: from alactroscopic.com (bl17-135-155.dsl.telepac.pt [188.82.135.155])
ちなみに、Whois情報ではalactroscopic.comのサーバのIPアドレスは64.91.254.158で登録されている。そして、このIPアドレスはaxorcismal.comのものと同じ。ふーん、そうか、そうだったのか。わからないってことだな。だって、Googleさんに聞いても情報がほとんど無いんですもん。
真相を知るにはzipファイルを解凍し、出てきたものを起動するとかしか無いわけだ。面倒くさい、もうこれphishingってことで。じゃ!
[amazonjs asin=”477475952X” locale=”JP” title=”完全攻略!!マグロ釣り (COSMIC MOOK)”]
つまるところ、見た目の送信元(From)はamazon.comだけど、ヘッダにあるRetur
if (/^From:.*@amazon.com/:h ) { if ( ! (/^Return-Pat h:.*@amazon.com/:h ) ) { to "maildir/.spam/" } }
ということで様子を見ましょうかね。