以下省略!

タイダルウ(ry 毎日1記事執筆運動実施中。

やっと囮アドレスに最初のspamが届いた

f:id:abyssluke:20150722180919j:plain:w200:left6/26に新たなスパム囮アドレス barbatos@rita-ch.com(※よい子はメール送っちゃダメ)の運用を開始したが、今日11時、ようやく最初のspamが届いたので紹介。USB端子に差すだけで衛星テレビやムービーが見れるーなやつとかを紹介するspam HotDealGadgets (またはHotGadgetDeal)。

spamを軽く分析してみる

  • 宣伝している商品は次の通り。そのうち無料なものもあるが別途送料が掛かる模様。
    • PCで5000以上の衛星テレビ、HDムービーが視聴できるやつ
    • 光るUSBケーブル(無料)
    • 金の延べ棒USBメモリ(無料)
    • Miracastのアダプタ
    • ペン型スパイカメラ
  • リンク先はクッションページで、別ドメインのinKline Globalというサイトに飛ばされる。
    • 商品ページには期間限定の旨と終了までのカウントダウンが表示されている。
    • 注文ページも見てみたがEV-SSLを使用していた。PayPal経由での注文も可能。
  • whoisドメインの所持者を確認したところクッションページのドメイン、販売ページのドメイン共にinKline Global名義であった。
  • ちなみに飛ばされた先のURLの末尾に特定の文字列があったが、広告効果測定用?
  • unsubscribeリンクはリンク先が設定されていない罠。
  • ヘッダーを見ると例によって発信元は中国。

※ヘッダーは続きを読むから見られます

ヘッダー

※lolipopは受信側のメールサーバー(ムームーメール)

Return-Path: <charles.denison@moelis.com>
X-Original-To: barbatos@rita-ch.com
Delivered-To: barbatos@rita-ch.com
Received: from mail015.phy.lolipop.jp (localhost.localdomain [127.0.0.1])
	by mail015.phy.lolipop.jp (Postfix) with ESMTP id 657ED2B5E72
	for <barbatos@rita-ch.com>; Wed, 22 Jul 2015 11:00:11 +0900 (JST)
Received: from 172.17.0.252 (172.17.0.252)
 by mail015.phy.lolipop.jp (LOLIPOP-Fsecure);
 Wed, 22 Jul 2015 11:00:11 +0900 (JST)
X-Virus-Status: clean(LOLIPOP-Fsecure)
Received: from smtp-mx202.phy.lolipop.lan (HELO smtp-mx202.phy.lolipop.jp) (172.17.0.252)
    by smtp-mx202.phy.lolipop.jp (qpsmtpd/0.82) with SMTP; Wed, 22 Jul 2015 11:00:11 +0900
Received: from 115.221.48.115 (115.221.48.115)
 by smtp-mx202.phy.lolipop.jp (LOLIPOP-Fsecure);
 Wed, 22 Jul 2015 11:00:10 +0900 (JST)
X-Spam-Status: Yes(LOLIPOP-Fsecure) with VIRUSGW/SPAM_RBL/115.221.48.115[bl.spamcop.net:127.0.0.2]
From: "Aurelio Mcdowell" <10u.loudounlibertycoach@wlgsl.org>
To: barbatos@rita-ch.com
Subject:  Turn Your PC Into A Satellite TV +  2 Special Gifts
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
Message-Id: <20150722020011.60EFA4E40468@smtp-mx202.phy.lolipop.jp>
Date: Wed, 22 Jul 2015 11:00:11 +0900 (JST)

蛇足

念のためspammerのサイトはTor経由で見たのは秘密(Tor Browserを使って)。

実験中:よい子は次のアドレスにメールを絶対に送らないでください。場合によっては晒しあげされますよ。 ivyrush+htnb.20170313@rita-ch.com viande@rita-ch.com