たまにGmailに来る詐欺メール、今回はサウスウエスト航空を騙った、よくあるアンケート詐欺spam。晒しあげ。アンケートに答えて90ドル相当のpromo rewardを受け取ろうとある。imgurから画像を呼び出しているようだが、うち1枚はリンク切れになっている。リンク先はメールトラッカー的なリダイレクタっぽい(開封確認ビーコンもある)が、ドメインのDNSが引けない(NXDOMAIN)。ドメインで使っているCloudFlare側でDNSを止められたのかは不明。Microsoft 365のサーバーから発信されている感じで、Return-Pathは空白。まぁ突然送られてくるsurvey云々は詐欺の法則だわな。

最近プロバメール宛に届いているspam事情(定期報告とも言う)。ラインナップは最近偽ブランド品spamや黒粕spamが増えてきてるかなー以外は以下略。ここで最近すり抜けたAmazonフィッシングについて。Fromが(Random)@service.～.cnとこれまですり抜けて来ていたAmazonフィッシングの系列を思わせる。Cloudflare Workersで複数サイトのうちどちらかにリダイレクトするパターンで、メールのリンクではGoogle翻訳を重ねる形でspamcop対策されている。そこそこ厳し目の環境判定がされておりNGだとnginxのデフォルトページになるが、サーバーソフトウェアはApacheという矛盾。カード情報(含3Dセキュアパスワード)はエラー名目で2回要求される。なお、試しにAMEXのダミーカード番号を入力したところJCBの偽3Dセキュア画面が表示された件。中華らしく「継続する了」と翻訳の甘さが見られる。今回のピックアップは晒しあげしようと思ったがやめた。まぁ、いわゆる脅迫詐欺メールですけど(送金先アドレスは共通なので"1Kom6KttpBP4CnwycqmgS9v4yhhFqeZyxP"でググればわかる)。

以前書いた、プロバメール宛に毎日すり抜けて届いているAmazonフィッシング、最近ではlocalhost送りにされない(urlscan.io調べ)ことが多くなったが、以前使用されたURLが再び出てきているので、未だにGoogleセーフブラウジングに登録されていないことを逆手にとっているな。何度も報告しているのに。QuadraNetも対処していないっぽいので防弾ホスティングの定番といっても過言ではないな。さて、この毎日すり抜けるフィッシングの特徴だが、「Fromのアドレスがsupport@service.(AnyName).comである」「Subjectの末尾が『メール』(以前配信していたものは『メール番号～』の場合もあり)」「本文末尾に『番号: (Random Number)』がある」だろうか。しかしフィッシングメールはメール番号好きだよねぇ。

いわゆる例のduckdns野郎(スミッシング)、duckdns.orgでフィルタリングされるのを防ぐためか最近はcutt.lyというURL短縮サービスを用いて配信している模様。つまり3-4段リダイレクト(cutt.ly→入口→OS振り分け→apkダウンロード or 架空請求ページ)となる。またUser-Agentも見るようになっており、リダイレクト後のページで明らかにモバイル端末でない場合は偽の404ページにリダイレクトされるようになった。記事画像は先日届いたduckdns野郎だが、AndroidのUAに偽装してAndroid向けページにアクセスしてみた所、iPhone時と同じVプリカのコードを要求する架空請求ページにつながった謎。リダイレクト先の設定ミスなのかは不明。