BLACKCASカードのスパムメール VS GCI | パパケベックの総合ブログ
Amebaホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

パパケベックの総合ブログ

ブログ記事の内容は、広帯域受信機、ニュース論評、競馬予想と結果、2015年1月からターゲットにされた遠隔テクノロジー犯罪について、パソコン・インターネットの話題、科学技術のニュースなどを書いている。ほかのブログサイトにもブログ開設している。

BLACKCASカードのスパムメール VS GCI

BLACKCASカードを売りつけるサイトに誘導するスパムメール

BLACKCASカードとは、おそらく業務用のB-CASカードだろう。契約違反の可能性があるらしく、おおびらに販売できないらしい。メールヘッダーを改ざんし出所を隠してスパムメールを送信している。

このスパムメールは一つのサイトに誘導している。サイトのURLは頻繁に変更されているが、IPアドレスは同一である。IPアドレスは台湾のサーバーである。

誘導先の際ストでの注文は、カネの受取人の身元特定につながるような銀行振り込みの手法はとっていなかった。代引きしかなかった。もちろん日本語表示だし、日本人が閲覧するサイトだ。そして、一般的な表示としての会社概要などの情報は一切ない。

とにかく誘導先のサーバーは一つだ。

そのアドレスは、219ー87ー170ー37、いろいろなURLを持っている。

ukntnyev44-mobi
pv55f8u9bd-mobi
eo79aqw63p-mobi
hj5na4a7a5-mobi
fj3cj4p3pn-mobi

カードのほかにもアダルト関係のサイトも同居している。URLのmobi以降がない状態でアクセスするとアパッチのテストページを表示することもある。

サーバー関係は、Server: Apache/2.2.15 (CentOS)。

上記アドレス以外にも多くがあるが、スパマーが同じサーバーを共同利用しているのか?

おもしろいことにメーラーの種類が記載されている。
X-Mailer: The Bat! (v1.52f) Business
X-Mailer: MIME-tools 5.503 (Entity 5.501)
X-Mailer: Microsoft Outlook, Build 10.0.2616
X-Mailer: QUALCOMM Windows Eudora Version 5.1
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-Mailer: Microsoft Outlook Express 5.00.2615.200
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Mailer: eGroups Message Poster
X-Mailer: AOL 7.0 for Windows US sub 118
X-Mailer: Becky! ver. 2.58 [ja]

スパムメールのヘッダーでの最初の出所の形式は次のように表示されている。

Received: from IPアドレスA by IPアドレスB; 年月日(この形式は普通のメールにはない)
From: スパムメールの件名として表示される部分<発信元のメールアドレス>

上記ヘッダーから形式的に考えれば、、スパマーを日本に住む日本人とすれば、スパマーは端末からネット接続し、メーラーの情報が正しければ、パソコンからスパムメールを外国のIPアドレスAのメールサーバーから送信し、外国のIPアドレスBの中継サーバーを経由させてホットメールのサーバーに送ったことになる。

TORを使用していなかったら、サーバーを調べれば発信者が特定可能だろう。TORでメールが送信できれば、言い換えればサーバーが受け入れれば、TORを使えると思うが。

≪Received: from IPアドレスA by IPアドレスB; 年月日≫が正しくても、発信元は分からない。from IPアドレスAがメールサーバーだから。

Subject欄にはユニコード文字が含まれていることがある。

発信元のメールアドレスを並べてみると次のようになる。一応、発信者のメールアドレスになるが、当然改ざんされている。

@ezweb.ne.jp
@softbank.ne.jp
@yahoo.co.jp

大部分はヤフーメールを語っている。しかもたくさんあり、ニセモノだと考えていいだろう。

最終中継のサーバーは複数、ヨーロッパが多い。サーバーにはたくさんのポートが開いているものさえある。

スパムメールが、特定のサイトに誘導することでは、以前取り上げたMTA4のスパムメールと本質的に変わらない。

ガラクタ商品の販売だから、仮にサイトを世界に向かって立ち上げても、アクセスがなければ何もならない。そこでスパムメールを送信してサイトに誘導するわけである。

ホットメールではyahoo.co.jpを受信拒否にできなかったが、ezweb.ne.jpとsoftbank.ne.jpは可能だった。

改ざんされたメールアドレスを一つ一つ受信拒否なんかできないからな。とはいえ、ホットメールではきちんと迷惑メールに振り分けられる。

==================================
ボンクラータワー ハンター9906 ウエストからのブイのサブロクキングできないか
ボンクラータワー ハンター9906 エイトポイントツー ユウボイスツーバイツー
ボンクラータワー ハンター9906 ジャッカルキャンディー
ボンクラータワー ハンター9906   ナインファイブだと大きすぎる
ボンクラータワー ハンター9906 うぉぉぉぉぉぉぉ! メーデー メーデー ハンター9843と激突 操縦不能 墜落中
ハンター9906 ボンクラータワー 墜落しろ
ボンクラータワー ハンター9906 了
ボンクラータワー ハンター9843 オルソ 了
---------------------------------

AOR AR8200Mk3サーチ結果
 
231.4→札幌
235.2→札幌
240.2→札幌
240.3→札幌
244.8→札幌 AOR AR8200Mk3内部発信 
244.9→札幌
247.85→札幌
250.4→札幌
250.5→札幌
255.1→札幌 
256.2→札幌 
256.85→札幌
257→札幌
258.25→札幌
258.35→札幌
276.3→札幌 IC-R3ss内部発信 ID-92内部発信
282.9→札幌
296.7→札幌
300.1→札幌
301.8→札幌
302.4→札幌
305.7→札幌 
307.2→札幌
308→札幌   
315.1→札幌 
315.6→札幌
316.1→札幌
328→札幌
327.6→札幌
349.4→札幌
354.2→札幌
359.9→札幌
365→札幌 パソコンノイズ電波
369.4→札幌
388.9→札幌 パソコンノイズ電波
5.3645→札幌