「RayBan」を装った迷惑メールを調査してみた
- POSTS
前回に引き続き今回はレイバンを装ったなりすまし迷惑メールを調査してみます。
数えてみると2017年の2月下旬から4月下旬の間に10通届いていました。
すばらしい!美しい光線禁止サングラス、紫外線を拒んだ!!!この日本語に騙されて購入してしまう人がいるのかは謎ですが、
なぜか引き込まれる日本語ですね!
以前TwitterやFacebookで流行った知り合いからのレイバン広告メッセージはCSRF(クロスサイトリクエストフォージェリ)ではなく、
単にパスワードの総当たり攻撃で乗っ取られたアカウントのようです。
今回はメールが直接届いているので、前回とは手法が違います。
メールの情報を見てみる X-mailer: Foxmail 6, 13, 102, 15 [cn] 送信者が使ったメーラーは「Foxmail」という中国産のソフトのようです。
また送信者のタイムゾーンも+0800なので、 今回も中国人の可能性がでてきました。
This is a multi-part message in MIME format.を使ってプレーンテキストとHTMLテキストの2つの内容になっているので一つずつ見ていきます。
テキストメールの場合 前回のLINEのなりすましメールとは違って、 charset=“utf-8"になっていました。 まずはデコードしてみます。
レイバンのサングラス,80%の割引,まもなく終了! お見逃しな。今日限り活動特価2499円! 利用期限は本日23時59分まで! https://bit.ly/2oD1Ozg 三つを買うなら、配達無料、貴族の品質+100%品質保証 すばらしい!美しい光線禁止サングラス、紫外線を拒んだ!!! ©Msn.Co. Inc.. All Rights Reserved. URLの部分はbit.lyなので特にそのままですね。
HTMLメールの場合 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <HTML><HEAD> <META content="text/html; charset=utf-8" http-equiv=Content-Type> <META name=GENERATOR content="MSHTML 10.00.9200.17429"></HEAD> <BODY> <P><FONT color=red><STRONG>レイバンのサングラス</STRONG></FONT>,80%の割引,<STRONG><FONT color=blue>まもなく終了</FONT></STRONG>!</P> <P>お見逃しな。今日限り活動特価<STRONG><FONT color=red>2499円</FONT></STRONG>!</P> <P>利用期限は本日23時59分まで!</P> <P><A href="https://bit.ly/2oD1Ozg"><STRONG><FONT size=4>https://bit.ly/2oD1Ozg</FONT></STRONG></A></P> <P>三つを買うなら、配達無料、貴族の品質+100%品質保証</P> <P><FONT color=blue><STRONG>すばらしい!美しい光線禁止サングラス、紫外線を拒んだ!!!</STRONG></FONT></P> <P><STRONG>©Msn.