phishing (Amazon.com)

iPod touchで使っているメールアドレスに思いもよらず米国Amazonから「Order Details」というタイトルのメールが届いた。

円高の頃に利用したこともあるし、そういやJack Danielのスモークチップがずっと注残だったけどどうなったっけなあ、なんてのんきにメールを開いてみた。文面にはAmazonへのリンクがあったので普通に開いたらいつもの画面。ユーザ名も自分のものが表示されていてオーダーを確認したら何も入っていない。

あれ? なんかこれ、おかしなことになってねえか? おっと、そういえば、そういえばさ、このメールアドレスってAmazonには登録してなかったんじゃね?

遅い。気付くのが遅いよ。もうほとんど釣られてんじゃん。

再度メールを確認すると、リンクはすべて本来のAmazonであるamazon.comになっている。どうやら添付されている「order_id.zip」が悪の本体のようだ。さらにヘッダーを調べてみるとちょいちょい怪しい。

数通届いたメールのすべてがReturn-Path: <support@axorcismal.com>とかになっている。ところで脱線するけど、何通も届くってこと自体が怪しさを増幅させているから、向こうの目的としてはマイナスなんじゃね?

それぞれのメールは微妙に発信元サーバが異なっている。例えば、

Received: from alactroscopic.com ([95.65.142.92])
Received: from alactroscopic.com (jggw1.network.jensen.ru [195.144.249.4])
Received: from alactroscopic.com (bl17-135-155.dsl.telepac.pt [188.82.135.155])

ちなみに、Whois情報ではalactroscopic.comのサーバのIPアドレスは64.91.254.158で登録されている。そして、このIPアドレスはaxorcismal.comのものと同じ。ふーん、そうか、そうだったのか。わからないってことだな。だって、Googleさんに聞いても情報がほとんど無いんですもん。

真相を知るにはzipファイルを解凍し、出てきたものを起動するとかしか無いわけだ。面倒くさい、もうこれphishingってことで。じゃ!

[amazonjs asin=”477475952X” locale=”JP” title=”完全攻略!!マグロ釣り (COSMIC MOOK)”]

つまるところ、見た目の送信元(From)はamazon.comだけど、ヘッダにあるReturn-Pathがamazon.comになっていないことで見分けられそうだ。

if (/^From:.*@amazon.com/:h ) {
    if (  ! (/^Return-Path:.*@amazon.com/:h ) ) {
        to "maildir/.spam/"
    }
}

ということで様子を見ましょうかね。

アバター画像

taquinoy について

もう全然更新していなくて、今後も更新する予定は立っていなくて、でも捨てられずに残しています。
カテゴリー: IT and IS パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください