最近のプロバメールのspam事情11月上旬版。本来は数日前にアップする予定だったのだが、viandeに届くspamが多くなり晒しあげが追いつかなくなる恐れがあったためやむを得ず晒しあげ記事を優先しこの記事の公開を延期していた。
Canadian Pharmacy系列
プロバメールに一番届いている世界一なspam。
相変わらず短縮URLパターンではbit.ly愛用中で、Unsubscribeリンクは関係ないAWSのサイトのまま。一番比率多いパターンなのに。bit.lyしっかりしろ。
.topパターンなどでのサイトはAWSやVultr、GCPなどを使っていてマジアレ。なお11/05あたりから.ruパターン(corbina)、11/11に.suパターンを確認した。
出会い系?spam
これもCanadian Pharmacy(Yambo Financials)系列かもしれんが、ロシア(rambler.ru)のメールアドレスに連絡させようとするspamも来ている。
求人?spam
「Working Remotelyなspam」「投資関連spam」「金儲け関係の英語spam」などと呼んでいるやつと同一系列。本文が固定テンプレ。今までだったら若干変化させてたりしてたんだけどねぇ。
なおURLはWordpressなどの脆弱性で設置されたクッションサイトではなくAWS(EC2?)でホスティングされていると思われるアフィリエイトURLが直接指定されている(vip.〜.top/tracker?smart_link_id=2&aff_id=149)。
同一系列でドイツ語でのCryptoSystemのspamの配信も確認されている。
bitFlyerフィッシング
11/04から数日間、bitFlyerのフィッシング詐欺メールが出回っていた。偵察したところ、いつものID/PW、そして携帯番号を要求する模様。携帯番号入力後は本物のページに飛ばされた(なお、Tor Browserからだと本物のページはIP制限画面になる)。
携帯番号入力ページのソース見たらソースをパクったと思われる詐欺師らしきメールアドレスがあったな…(米ヤホーのアドレスだった)
サイトは中国のVPSっぽい。いつもの中国人の仕業ですかそうですか。
フィッシング対策協議会にもメールを転送し、緊急情報が発表された。なお、転送に対する返信の時点で「サイトは閉鎖済」となっている。
RetailMeNot系偽ブランド品販売spam
久しぶりにRetailMeNot系列spamがそこそこ着弾。UGGやMonclerなど。100%spamフィルタをすり抜けるのでアレ。
発信元はいつものlinodeである(ただしspamcopではdevnullとなるのでf**k)
ウイルスメール(URL誘導型)
楽天カードからのメール(かなり精巧にできている)と偽ってウイルスをダウンロードさせるメールがあったが、今度は佐川急便、楽天を騙ってきた件。
URLの法則やToなどに複数のアドレスを入れているなどから見て同一犯でしょう。
CITIBANAMEX(糖尿病関係)系列
送信元とホスティングがほぼ安定感。
URLも(ランダム).hop.clickbank.net/?tid=DEABETESと安定。