ブログ - newdrive18.downloadからのメール
URLを意識しないことも多いけれど,.downloadドメインというのがあるのだなぁ...
こんなメールが来た.
英文のシンプル.感度の高い人が「添付ファイルを開かないで!」と言っていたのだけれど,よく見ると添付ファイルが本質ではない.残念ながら,添付ファイルの部分の画像が荒いので画像ファイルをつけていることがわかる.
ソースファイルを確認.
普通にAタグでURLをリンクしてある.word文書に見せかけの画像ファイルをクリックしたら飛んでいくわけだ.
まずは,直接ソースに書いてあるURLにアクセスしてみた.
なんもない.cgi-binとかWordPressを思わせる部分は,一応見ることができないようになっていた.
URLにSPAMを受けたメールアドレスのパラメータが付いているので,それを存在してなさそうなアドレスに書き換えてアクセスして見たら,本質のものが出た.
gmailのログインをかたる詐欺サイト.パスワードをランダムにいれてみた.
一応,リダイレクトでチェックしているかこれも偽物かもしれないけれど,エラーメッセージはでてきた.パスワードは記録されているでしょう.
ということでURLを確認するとパスワードは普通にURLパラメータとして送信されている単純なものでした.作者はPOST/GETもわからん素人か.
こんなメールが来た.
英文のシンプル.感度の高い人が「添付ファイルを開かないで!」と言っていたのだけれど,よく見ると添付ファイルが本質ではない.残念ながら,添付ファイルの部分の画像が荒いので画像ファイルをつけていることがわかる.
ソースファイルを確認.
Content-type: text/html;
charset="UTF-8"
Content-transfer-encoding: quoted-printable
<html>
<head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8">
<title></title>
</head>
<body>
<p><a href=3D"https://newXXXdrive18.downlXXXXoad/wp/file.php?
login=ZZZZZ@XXXXXXX.jp&name=ZZZZZ@XXXXXXXX.jp">
<img border=3D"0" alt=3D"doc (1).gif" src=3D"cid:123456789"
width="200" height="42"></a></p>
<p>Good Day,</p>
<p>Revised Document is for your ref.</p>
<p>Best Regards.</p>
</body>
</html>
まずは,直接ソースに書いてあるURLにアクセスしてみた.
なんもない.cgi-binとかWordPressを思わせる部分は,一応見ることができないようになっていた.
URLにSPAMを受けたメールアドレスのパラメータが付いているので,それを存在してなさそうなアドレスに書き換えてアクセスして見たら,本質のものが出た.
gmailのログインをかたる詐欺サイト.パスワードをランダムにいれてみた.
一応,リダイレクトでチェックしているかこれも偽物かもしれないけれど,エラーメッセージはでてきた.パスワードは記録されているでしょう.
ということでURLを確認するとパスワードは普通にURLパラメータとして送信されている単純なものでした.作者はPOST/GETもわからん素人か.
