読者です 読者をやめる 読者になる 読者になる

すとらと!

あたまのメモ帳。ハムよりシングルが好きです

「RayBan」を装った迷惑メールを調査してみた

前回に引き続き今回はレイバンを装ったなりすまし迷惑メールを調査してみます。

cyamax.hateblo.jp

数えてみると2017年の2月下旬から4月下旬の間に10通届いていました。

f:id:cyamax:20170427221710p:plain:w320

すばらしい!美しい光線禁止サングラス、紫外線を拒んだ!!!

この日本語に騙されて購入してしまう人がいるのかは謎ですが、
なぜか引き込まれる日本語ですね!

以前TwitterFacebookで流行った知り合いからのレイバン広告メッセージはCSRF(クロスサイトリクエストフォージェリ)ではなく、
単にパスワードの総当たり攻撃で乗っ取られたアカウントのようです。

今回はメールが直接届いているので、前回とは手法が違います。

メールの情報を見てみる

f:id:cyamax:20170427222616p:plain

X-mailer: Foxmail 6, 13, 102, 15 [cn]

送信者が使ったメーラーは「Foxmail」という中国産のソフトのようです。

また送信者のタイムゾーンも+0800なので、 今回も中国人の可能性がでてきました。

This is a multi-part message in MIME format.を使って二つのプレーンテキストとHTMLテキストの2つの内容になっているので一つずつ見ていきます。

テキストメールの場合

前回のLINEのなりすましメールとは違って、 charset=“utf-8"になっていました。 まずはデコードしてみます。

レイバンのサングラス,80%の割引,まもなく終了!
お見逃しな。今日限り活動特価2499円!
利用期限は本日23時59分まで!
https://bit.ly/2oD1Ozg
三つを買うなら、配達無料、貴族の品質+100%品質保証
すばらしい!美しい光線禁止サングラス、紫外線を拒んだ!!!
©Msn.Co. Inc.. All Rights Reserved.

URLの部分はbit.lyなので特にそのままですね。

HTMLメールの場合

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 10.00.9200.17429"></HEAD>
<BODY>
<P><FONT color=red><STRONG>レイバンのサングラス</STRONG></FONT>,80%の割引,<STRONG><FONT 
color=blue>まもなく終了</FONT></STRONG>!</P>
<P>お見逃しな。今日限り活動特価<STRONG><FONT color=red>2499円</FONT></STRONG>!</P>
<P>利用期限は本日23時59分まで!</P>
<P><A href="https://bit.ly/2oD1Ozg"><STRONG><FONT 
size=4>https://bit.ly/2oD1Ozg</FONT></STRONG></A></P>
<P>三つを買うなら、配達無料、貴族の品質+100%品質保証</P>
<P><FONT color=blue><STRONG>すばらしい!美しい光線禁止サングラス、紫外線を拒んだ!!!</STRONG></FONT></P>
<P><STRONG>©Msn.Co. Inc.. All Rights 
Reserved.</STRONG><STRONG></STRONG></P></BODY></HTML>

HTMLメールも特に変な部分はなさそうです。

メタデータの部分 を調べてみると昔販売されたHP作成ソフトらしく謎ですが今回はスルーします。

サイトにアクセスしてみる

f:id:cyamax:20170427223921p:plain
URLがbit.lyで短縮されているので、まずは元に戻してみます。
bit.lyのURLの末尾に「+」を追加することで
短縮前のアドレスとアクセス数情報がみれます。
f:id:cyamax:20170427222434p:plain

bit.lyの情報を見るとこのメールだけでも3000回以上アクセスがあるようです。

サイトのURLをwhoisで見てみると、Bizcn.com,Inc.という中国の会社が登録していました。
レイバンの迷惑メールはここ2ヶ月ほど定期的に届いていたのですが、
調べて見るとどれもURLが異なりますが、最終的にアクセスするサーバ(IPアドレス)は一緒でした。

どうやらドメインを定期的に新しく登録して詐欺扱いになったドメインは削除しているようです。

サイト構成

f:id:cyamax:20170427222342p:plain
普通のサイトに見えますが、やはり細かいところが色々おかしいです。
ただ前回 のLINEフィッシングサイトに比べると手の込んだ作りになっています。

f:id:cyamax:20170427223439p:plain

phpinfo

アドレスを見るとPHPで作ってあるようなのでphpinfoが見えるか試して見ます。
f:id:cyamax:20170427222411p:plain
見えてしまいました。 これ以上は止めておきます。

対策

どうやら私の個人メールアドレスがどこからか漏れた可能性が高いです。
i.softbank.jpあてに届くのでソフトバンクのマイページで以下設定をしてみましたが、まだレイバンの迷惑メールは届いています。

  • 迷惑メールフィルタを「強」
  • なりすまし拒否「利用中」
    ※他の設定は届いて欲しいメールも届かなくなりそうだったので設定できない

受信しないようにするにはアドレスを変更するか、メーラで個別設定をする必要がありそうです。

まとめ

  • メールヘッダやドメインの登録者情報などから今回も中国人犯行の可能性が高い結果となりました。
  • サイトは結構作り込まれているので、なりすましメールの本文やサイト内の日本語がちゃんとしていたらもっと騙される人が増えそうです。
  • 「LINEのなりすまし」の犯人とは共通点が少なく関係がなさそうです。

レイバン スパム」で検索すると、偽サイトと分かりながら興味本位で購入した強者もいるようで、そちらも見てみると面白いかもしれません。