phishing (Amazon.com)

iPod touchで使っているメールアドレスに思いもよらず米国Amazonから「Order Details」というタイトルのメールが届いた。

円高の頃に利用したこともあるし、そういやJack Danielのスモークチップがずっと注残だったけどどうなったっけなあ、なんてのんきにメールを開いてみた。文面にはAmazonへのリンクがあったので普通に開いたらいつもの画面。ユーザ名も自分のものが表示されていてオーダーを確認したら何も入っていない。

あれ? なんかこれ、おかしなことになってねえか? おっと、そういえば、そういえばさ、このメールアドレスってAmazonには登録してなかったんじゃね?

遅い。気付くのが遅いよ。もうほとんど釣られてんじゃん。

再度メールを確認すると、リンクはすべて本来のAmazonであるamazon.comになっている。どうやら添付されている「order_id.zip」が悪の本体のようだ。さらにヘッダーを調べてみるとちょいちょい怪しい。

数通届いたメールのすべてがReturn-Path: <support@axorcismal.com>とかになっている。ところで脱線するけど、何通も届くってこと自体が怪しさを増幅させているから、向こうの目的としてはマイナスなんじゃね?

それぞれのメールは微妙に発信元サーバが異なっている。例えば、

Received: from alactroscopic.com ([95.65.142.92])
Received: from alactroscopic.com (jggw1.network.jensen.ru [195.144.249.4])
Received: from alactroscopic.com (bl17-135-155.dsl.telepac.pt [188.82.135.155])

ちなみに、Whois情報ではalactroscopic.comのサーバのIPアドレスは64.91.254.158で登録されている。そして、このIPアドレスはaxorcismal.comのものと同じ。ふーん、そうか、そうだったのか。わからないってことだな。だって、Googleさんに聞いても情報がほとんど無いんですもん。

真相を知るにはzipファイルを解凍し、出てきたものを起動するとかしか無いわけだ。面倒くさい、もうこれphishingってことで。じゃ!

つまるところ、見た目の送信元(From)はamazon.comだけど、ヘッダにあるReturn-Pathがamazon.comになっていないことで見分けられそうだ。

if (/^From:.*@amazon.com/:h ) {
    if (  ! (/^Return-Path:.*@amazon.com/:h ) ) {
        to "maildir/.spam/"
    }
}

ということで様子を見ましょうかね。

記事を共有:Email this to someoneShare on FacebookShare on Google+Tweet about this on Twitter
taquinoy

taquinoy について

ネットワークサービスやビジネスのことや食い物のことや憤慨していることや、もしかしたら誰かの何かの役に立つかもしれないようなことを掲載しています。
カテゴリー: IT and IS パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です