ホーム » 2008 » 9月 » 29

日別アーカイブ: 2008年9月29日

2008年9月
« 8月   10月 »
 123456
78910111213
14151617181920
21222324252627
282930  

最近の投稿(電子情報)

アーカイブ

カテゴリー

みごとな定番のフィッシングメール(解析してみる)

ガッコにはそれなりに精度のあるメールフィルタが入っており、 それなりに変なメールは届かないんだけど、見事な フィッシング詐欺 の定番のメールが届いた。実は日本語 FN 以前、笑っちゃうほど『変な日本語』の SPAM ならもらったことがあるけど… /FN のこーゆーのもらったのは初めて…. 記念&学生さんへの注意喚起ということで、さらしておこう…

Postgrey FN Postgrey: メールを受け取る際に、一旦受け取らずに再送させることで、 単純な BOT からのSPAM送信を受け取らない手法。 /FN をくぐり抜けている点やマトモっぽい Message-ID が付いている ことから、ウィルスに感染した BOT FN BOT: ウィルスなどに感染したパソコンが遠隔操作できる状態になっており、 悪意のある SPAM 送信者からの命令に応じて迷惑メールを送信するために 使われる事例が問題となっている。 /FN からの送信だろう。 リンク先を示す URL には、 変なGETパラメータ FN もっと悪意のあるメールなら、URLの末尾に GET パラメータにメールアドレスとかを 混ぜ込んで、URL を参照するだけで、送信相手が分かるようにしておくはず。 /FN も付いていないので、 そのままリンク先のページを見ると、見事に UFJ Card のサイトをそれなりに 真似している。

メール本文

# ヘッダ部
# ガッコの postgrey を通り抜けている!!
X-Greylist: delayed 810 seconds by postgrey-X.XX;
#
# 発信元は corecreative.com 踏み台にされたのかな...
Received: from mail2.corecreative.com ...
#
# From関連は yahoo.co.jp の公式っぽいアドレス(偽装にきまってる)
# UFJのメールを yahoo が発信する訳がない。(これ以上調べる価値がない)
Return-Path:
Reply-To:
From: "UFJ Card"
Subject: ALERT
#
# charsetは、訳の分からない Windows-1250 ....
# 中央・東ヨーロッパ文字らしい。この文面の中に unicode で漢字データが入っている。
# 単純な文字列マッチングによるフィルタを、くぐり抜けるための手口。
Content-Type: text/html; charset="Windows-1250" ...
UFJ様

メールアドレスを確認 - 確認メールが届いたことをUFJまでお知らせください。

クレジットカードの登録と確認 - カードを登録して確認し、認証を実行して
UFJアカウントの限度額を引き上げます。
このメールには返信しないでください。このメールボックスはモニターされてい
ませんので、返信されません。ヘルプが必要な場合は、UFJアカウントにログ
インし、各ページの右上にあるヘルプのリンクを選択してください。
Copyright (c) 1999-2008 Mitsubishi UFJ NICOS.,Ltd. All rights reserved.

リンク先の偽装サイト

この画面で入力されるカード番号などを悪用する。

2008-09-29-phishing.png

偽装サイトで入力した情報が送られるサイト

前記の偽装サイトの HTML のキモとなる部分は、以下のとおり。 試しに無記入で


:

ホスト名の先頭こそ ufj だけど、末尾の sjdueiir は、一時的に取得する「捨てドメイン」 で機械的に乱数的につけられた名前だろう。 "ufj-sjdueiir.com" のアドレスなどをdigで調べてみると、yahoo 上のレンタルホストみたい。

$ dig ufj-sjdueiir.com
(略)
;; ANSWER SECTION:
ufj-sjdueiir.com.	949	IN	A	68.180.151.60
(略)
;; AUTHORITY SECTION:
ufj-sjdueiir.com.	86149	IN	NS	ns8.san.yahoo.com.
(略)
;; ADDITIONAL SECTION:
ns8.san.yahoo.com.	96402	IN	A	66.218.71.205
(略)

どちらにしろ、 corecreative.com , host-64-179-63-10.mil.choiceone.net , ufj-sjdueiir.com の、どのホストも、所属はアメリカ。 メールの文面こそ日本語だけど、アメリカのフィッシング詐欺のグループなんだろうなぁ…