ブログ - 【American Expressカード】ご利用確認してください。メール番号: というフィッシングメール
【American Expressカード】ご利用確認してください。メール番号: というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/15 20:06
アメックスを騙るフィッシングメール.
メール番号というのが件名と本文内にあるのだけれど,一致しない.ちなみにカミさんにも届いていて,そちらの番号とも違う.
誘導先のURLがGoogle翻訳経由のようになっている.これは何かセキュリティフィルタを越えるための工夫なのか?
誘導先のFQDNにアクセスしてみる.
既に停止されていた.ほぼ丸一日経過していたから,仕方ない.
今回気になったのはスパムアサシンで迷惑メール判定されなかったこと.よってヘッダを見てみる.
この中で"X-Amavis-Alert: BAD HEADER SECTION, MIME error: error: part did not end with expected boundary"というのがあるけれど,これはメールヘッダに異常がある場合にSpamAssassinが発報するのだけれど,エラーよって解析されないように仕組んでいるように思われる.
後もう一つ特徴的なのはalexusMailer_v2.0.phpというスクリプトの記述が.これはGithubで公開されているメール
AlexusBlack/alexusMailer-2
https://github.com/AlexusBlack/alexusMailer-2
・履歴付きマルチスレッドメール送信(履歴サイズは設定から変更可能)
・ファイルから受信者とすべての主要なフィールドを読み込むことができます
・電子メールテンプレートの保存と読み込み (1.* テンプレートとの下位互換性)
この辺りが迷惑メール送信として便利な機能が実装されていますね. GUIを備えてとても便利そう...
ロシア語のドキュメントが用意されているけれど,オーストラリア,ブリスベンの人だそうです.
そしてメール送信してきたサーバのIPアドレスを調べてみます.
Vultr.comというホスティング業者.2014年に設立されているようで,100%の稼働率補償.そして安いらしい.日本では東京都平和島データセンターにあるらしい.
メール番号というのが件名と本文内にあるのだけれど,一致しない.ちなみにカミさんにも届いていて,そちらの番号とも違う.
誘導先のURLがGoogle翻訳経由のようになっている.これは何かセキュリティフィルタを越えるための工夫なのか?
誘導先のFQDNにアクセスしてみる.
既に停止されていた.ほぼ丸一日経過していたから,仕方ない.
今回気になったのはスパムアサシンで迷惑メール判定されなかったこと.よってヘッダを見てみる.
この中で"X-Amavis-Alert: BAD HEADER SECTION, MIME error: error: part did not end with expected boundary"というのがあるけれど,これはメールヘッダに異常がある場合にSpamAssassinが発報するのだけれど,エラーよって解析されないように仕組んでいるように思われる.
後もう一つ特徴的なのはalexusMailer_v2.0.phpというスクリプトの記述が.これはGithubで公開されているメール
AlexusBlack/alexusMailer-2
https://github.com/AlexusBlack/alexusMailer-2
・履歴付きマルチスレッドメール送信(履歴サイズは設定から変更可能)
・ファイルから受信者とすべての主要なフィールドを読み込むことができます
・電子メールテンプレートの保存と読み込み (1.* テンプレートとの下位互換性)
この辺りが迷惑メール送信として便利な機能が実装されていますね. GUIを備えてとても便利そう...
ロシア語のドキュメントが用意されているけれど,オーストラリア,ブリスベンの人だそうです.
そしてメール送信してきたサーバのIPアドレスを調べてみます.
Vultr.comというホスティング業者.2014年に設立されているようで,100%の稼働率補償.そして安いらしい.日本では東京都平和島データセンターにあるらしい.
