たまにGmailに来る詐欺メール、今回はサウスウエスト航空を騙った、よくあるアンケート詐欺spam。晒しあげ。アンケートに答えて90ドル相当のpromo rewardを受け取ろうとある。imgurから画像を呼び出しているようだが、うち1枚はリンク切れになっている。リンク先はメールトラッカー的なリダイレクタっぽい(開封確認ビーコンもある)が、ドメインのDNSが引けない(NXDOMAIN)。ドメインで使っているCloudFlare側でDNSを止められたのかは不明。Microsoft 365のサーバーから発信されている感じで、Return-Pathは空白。まぁ突然送られてくるsurvey云々は詐欺の法則だわな。
HeroineXに届いたspam#68 : Reem Al-Hashimi(詐欺) その6(HeroineX)
spam収集実験用アドレス(Season 7) heroinex@spacebucks.space(よい子はメール送っちゃダメ)に68通目のspamが来たので晒しあげ。Reem Al-Hashimiを騙る詐欺師からのナイジェリア詐欺系メール。なのだが、前回に引き続き6月に届いたメールのリマインダーメールであり内容は非常に簡潔。……返信先のメールアドレスが前回と違うのがアレだし、"REPLY ONLY TO ~"と指定があるのにReply-Toは違うアドレスなんですが。 メールカテゴライズ: #68: 英語/詐欺
カード情報2回要求はあまりみかけないね……
最近プロバメール宛に届いているspam事情(定期報告とも言う)。ラインナップは最近偽ブランド品spamや黒粕spamが増えてきてるかなー以外は以下略。ここで最近すり抜けたAmazonフィッシングについて。Fromが(Random)@service.~.cnとこれまですり抜けて来ていたAmazonフィッシングの系列を思わせる。Cloudflare Workersで複数サイトのうちどちらかにリダイレクトするパターンで、メールのリンクではGoogle翻訳を重ねる形でspamcop対策されている。そこそこ厳し目の環境判定がされておりNGだとnginxのデフォルトページになるが、サーバーソフトウェアはApacheという矛盾。カード情報(含3Dセキュアパスワード)はエラー名目で2回要求される。なお、試しにAMEXのダミーカード番号を入力したところJCBの偽3Dセキュア画面が表示された件。中華らしく「継続する了」と翻訳の甘さが見られる。今回のピックアップは晒しあげしようと思ったがやめた。まぁ、いわゆる脅迫詐欺メールですけど(送金先アドレスは共通なので"1Kom6KttpBP4CnwycqmgS9v4yhhFqeZyxP"でググればわかる)。
ぐだ子ドットネットにWebサイト置こうかと言って3年以上経ちましたが進捗はだめです
2019年1月に書いたこの記事とこの記事。3年以上経った今、gudako.netは未だにNetlifyでホストしている仮ページのままである。総合案内ページでもいいから作っておきたい感はあるんだけども。。今の仮ページみたいに素っ気なくなるのを防ぐために何かしらのテンプレートを使って作りたい。
最近はlocalhost送りされず既出のURLをよく使っているようだが……
以前書いた、プロバメール宛に毎日すり抜けて届いているAmazonフィッシング、最近ではlocalhost送りにされない(urlscan.io調べ)ことが多くなったが、以前使用されたURLが再び出てきているので、未だにGoogleセーフブラウジングに登録されていないことを逆手にとっているな。何度も報告しているのに。QuadraNetも対処していないっぽいので防弾ホスティングの定番といっても過言ではないな。さて、この毎日すり抜けるフィッシングの特徴だが、「Fromのアドレスがsupport@service.(AnyName).comである」「Subjectの末尾が『メール』(以前配信していたものは『メール番号~』の場合もあり)」「本文末尾に『番号: (Random Number)』がある」だろうか。しかしフィッシングメールはメール番号好きだよねぇ。
HeroineXに届いたspam#67 : Reem Al-Hashimi(詐欺) その5(HeroineX)
spam収集実験用アドレス(Season 7) heroinex@spacebucks.space(よい子はメール送っちゃダメ)に67通目のspamが来たので晒しあげ。Reem Al-Hashimiを騙る詐欺師からのナイジェリア詐欺系メール。なのだが、6月に届いた前回のメールのリマインダーメールなのか内容は非常に簡潔。Karno#53のときよりも簡潔。 メールカテゴライズ: #67: 英語/詐欺
duckdns野郎、最近はcutt .lyを挟むようになっている件
いわゆる例のduckdns野郎(スミッシング)、duckdns.orgでフィルタリングされるのを防ぐためか最近はcutt.lyというURL短縮サービスを用いて配信している模様。つまり3-4段リダイレクト(cutt.ly→入口→OS振り分け→apkダウンロード or 架空請求ページ)となる。またUser-Agentも見るようになっており、リダイレクト後のページで明らかにモバイル端末でない場合は偽の404ページにリダイレクトされるようになった。記事画像は先日届いたduckdns野郎だが、AndroidのUAに偽装してAndroid向けページにアクセスしてみた所、iPhone時と同じVプリカのコードを要求する架空請求ページにつながった謎。リダイレクト先の設定ミスなのかは不明。