以下省略!

タイダルウ(ry 毎日1記事執筆運動実施中。

プロバメールのspamフィルタすり抜けたspamを晒しあげしてみる その2

プロバイダメールのspamフィルタ、たまにすり抜けるものもあるので、その一部を晒しあげしてみるアレの第2弾。
第1弾はこちら

※一部伏せ字にしていている箇所があります

Subject: 【12時間限定】3,800円のルイヴィトン財布|最高品質のブランド通販専門店

f:id:abyssluke:20151102200426p:plain:w240

  • メール本文 (元々HTMLメールですがテキスト変換されたパートのみの晒しあげです)
  • 2-3ヶ月に1-2回届く、(恐らく)中華系偽ブランド品販売サイト akbmall。
    • サイトは正規品とか言ってるけどどうせスーパーコピーとかそういう類っしょ?
  • 外部から画像を読み込んでいるHTMLメールで、開封確認目的だと思われるビーコンも入っている。
  • サイト(上記キャプチャ画像)にCDNのCloudFlareを使っている(abuse対策もあるのかも?)。
    • キャプチャ等のためTor Browserでサイトを開いたが、そのあと違うページを見ようとした所サーバーの有効期限が切れてる?みたいな中国語のエラーメッセージとなりサイト自体が閲覧できなくなった。
      • エラーメッセージにあるリンクから、実サーバーは中華のidcysというところを使っているらしい?

Subject: ■50万円当選■無料予想プレゼント[キーンランドカップ(G3)]3連単予想!受取期限は本日24時迄!!

  • メール本文
  • 約3週間おきに届いていた競馬予想サイトspam
    • だが8/28の「皇帝万馬券ナポレオン」以降来ていない。
  • 最初は当選メールを送ってきて(晒しあげしているメール)、その後結構短い間隔で体験談などを送ってくる(こちらは原則HTMLメール)。
  • 送信間隔が短い故、すり抜けまくりでウザイので届きまくっている途中にサーバー側で破棄するように設定していたりする。
  • URLにdispatch.php?p=(Base64エンコードしたパラメータ)が含まれているのが特徴。
  • 保存されているメールの中で今まで同一系列で来たサイト名は以下の通り。
    • 【HORSE RUSH】月間1億円極秘プロ馬券!
    • bingo!bingo!bingo!
    • 天下統一
    • 皇帝万馬券ナポレオン

Subject: hello / Subject: hi

  • メール本文:Coffey(hello) / Cooley(hi)
  • 日本語のspamに例えると個人を装った出会い系誘導目的のspamですか?
  • Reply-Toが2通とも(メルアドの一部+α)@rambler.ru。
    • ここはRambler系と呼ぼう。
実験中:よい子は次のアドレスにメールを絶対に送らないでください。場合によっては晒しあげされますよ。 ivyrush+htnb.20170313@rita-ch.com viande@rita-ch.com