タグ: spam

スパム業界の新しい風

 スパム収集家としての一面を持つ身として、スパムフィルターをかいくぐってくるスパムのチェックは欠かせない。先日から新しいパターンのメールが届き始めた。メイファくメールフォルダに入っていたが、一瞬間違えて入ったのかと思うほどだった。

 全て、本文の後ろにはスパム業者のサイトへの URL が貼られている。URL が偽装されていないので、少し注意深ければ引っかからないだろうが、偽装されていたら危ないところだ。

表題:自治会のお知らせ。
本文:
自治会の大事なお知らせなどをすぐに確認できるようにブログで告知するようになりました。

試験導入ですが一度ご確認をお願い致します。

表題:防災時報
本文:
同地区の避難経路、及び避難場所についてご確認をお願いしております。
お手数ですが、下記より同地区の避難経路、及び避難場所を把握頂きます様宜しくお願い致します。

表題:NHKサポートセンター
本文:
放送受信契約の未契約世帯への訴訟予告通知の発送について。

NHKでは、テレビ受信機を設置しているにもかかわらず、放送受信契約を結ん
でいただけない世帯や事業所に対し、公共放送の役割や受信料制度の意義などにつ
いて誠心誠意説明を行っていますが、それでもなおご契約いただけない場合、受信
料の公平負担を徹底する観点から民事訴訟を提起することとしています。

重要なお知らせとなりますので下記をご確認お願い致します。

太陽プレミアム債権回収会社 に社名変更したの?

 ARE債権回収株式会社、M・U・F債権回収株式会社、東洋ファイナンス、CCS債権回収会社、プレミアム債権回収が今では「太陽プレミアム債権回収会社」に社名変更したらしい。ちゃんと登記したんかなwww

 自分はフィルターで「債権回収」を全て削除しているので見てはいないが内容は読まなくても分かる。

 全てインチなので心配する必要はありません。その後に届くであろう弁護団も同一人物です。リンクにクリックすること無くサクッと削除しましょう(上手いこと言った)。

迷惑メールを見なくても済む設定(Mac Mail 編)

 架空請求メールを自動的に meiwaku@dekyo.or.jp に転送して削除する設定を追求しているうちに東洋ファイナンス、CCS債権回収会社、プレミアム債権回収、IT被害特別弁護団は商売替えしてしまったようだ。しかし、新しいスパマーの攻撃は果てしない。大半は Mac Mail と Gmail のフィルターで弾いてくれるが、メールを待っている時にはスパムフィルターをチェックする必要がある。そんな時に数百ものメールを表題と差出人名と頭数十文字だけでも目にするのは腹立たしい。

 そこで、繰り返しパターンを探っていたが、なかなか難しかった。最近のスパマーは差出人メールアドレスだけでなくドメイン名も架空のものを使ってくるから、ドメインやメールアドレスを登録していたのでは全く効果はない。そこで、試行錯誤の末、Mac の Mail (Max OS X の標準メールソフト)のフィルターでヘッダを追加できることを発見した。他の人には常識かも知れないが、もし知らない人がいたら参考にしていただきたいと思いこれを書いている。

 まず、送られてきた迷惑メールを分析することから始める。Mail では、コマンド+shift+H(表示、メッセージ、すべてのヘッダ)でヘッダが表示されるので、スパムメールに共通する項目で、相手に関する情報を読み取る。相手に関する情報は下の方にある。

 なお、メールを解析する時に注意しなければならないのはリンクテキストだ。リンクで表示されているURLに飛ぶ保証はどこにもない。リンクテキストは右クリックしてリンクURLをコピーし、テキストエディタにペーストして確認することが必要。そして、無意味な文字列が付いているようにみえるURLは送信したメール毎にIDを振っておいてこちらの情報を相手に教えるためのIDだ。そのリンクをクリックしただけで、スパムメールのリンクをクリックする馬鹿のメールアドレスとしてあなたのメールアドレスが登録され、迷惑メールの数が増えます。それだけならいいが、クラッキングサイトやフィッシングサイト、ワンクリック詐欺サイトなどに誘導される可能性も高い。しかも、その時にこちらのメールアドレスを入れなくても相手はメールアドレスを知ってしまう。(その場合でも、請求される筋合いはないので無視すればOKですが)。

Mac Mail setting 1 step1 Mail の環境設定からルールを選ぶ。こここでフィルターの条件設定ができる。アクションも、特定のフォルダに移動するとか既読にするだけでなく、任意のメールアドレスから届いたメールを指定のアドレスに自動的に送信したりもできる。

一般的な条件はプリセットされているが、差出人や表題でフィルターしていても埒が明かない。スパマーは微妙に表現を変えてくる(これはこれで、人間のパターン認識力を利用した高度な手法で興味深くはあるがwww)。そこで、もっとスパムメールに共通するパターンを登録する。メニューの一番下「ヘッダリストの編集」を実行する。

spam-filter-plus step2 ダイアログが表示されるので、スパマーに共通するヘッダを入力する。

ここでは、X-Mail-Agent 以下の三つを自分で入力した。追加する場合には左下の+を押してヘッダを入力する。

Mac Mail filter setting step3 自分が設定した三つ。この三つを入力するだけでほとんどのスパムが撃退できている。
1:X-Mail-Agent:メール送信に使ったサーバソフト。パソコンで使っている outlook とか Mail という意味ではなくサーバ上で動いているプログラムのこと。ここで BSMTP DLL を設定した。送られてくるスパムメールの多くがこのソフトを使って大量にメールを送信しているらしい。このソフト自体はまっとうなソフトらしいが、善意に基いて使用することが前提のようで、自分のところにスパムを送り付けてくるスパマーが愛用しているらしい。また、現在はメールマガジンや企業の広告の送信には使われていないようで、2日間の試用では真っ当なメールは一本としてこの条件に引っかからなかった。

因みに、東洋ファイナンスとかはこのメールエージェントがお気に入りのようだ。
2:X-Spam-Status:spam cop というサーバのスパム検知ソフトが付けたヘッダ。これはプロバイダやサーバの設定で効く環境と効かない環境があるだろう。自分は lolipop のレンタルサーバ経由でメールを受信していて lolipop のメール管理ソフトがこのヘッダを付けてくれる。半分以上のスパムメールはこれで弾ける。

3:Message-ID:メール送信ソフトが一本一本のメールに付けるID。同じスパマーは同じメール送信サーバを使っているので、ここで弾けばメールアドレスやドメイン名をどれだけ触っても無関係に弾くことができる。ここでは、数日前から大量に送ってきているメールサーバのドメイン名を使っているが、新しい業者が増えたらここを追加すると効果的。

また、.mobi は全部自動削除でもいいかもしれない。

操作:
 メッセージをリダイレクトで meiwaku@dekyo.or.jp に送っている。どれだけ本気に対策を打ってくれているかは分からないが、送られてくる気持ちは理解できるだろう。そして、最後にメッセージを削除だ。これで迷惑メールフォルダを確認しなければならない時に鬱陶しいメールから探す必要はなくなる。

債権回収業界はGMOがお気に入り?

 プレミアム債権回収と東洋ファイナンス、CCS債権回収のメールを送信していた3-k4g63.mobiを調べた。ここも GMO だ。onamae.com のDNSが安いんかな?

 こちらはichiro otani。こいつはさらに19もドメインを持っている。使い分けているのか、次々に新しいものにしているのかは分からない。サーバは香港だ。

もちろん、メールサーバのドメインを取得した人間が詐欺業者とは限らないが、食い止めることはできる。メールIDを見れば送信したユーザが特定できるから。メールIDを晒してあるから、ichiro otaniさんは一刻も早く詐欺メール送信野郎を退会させた方がいい。本人じゃなければだがwww

Domain ID:D7648219-MOBI
Domain Name:3-K4G63.MOBI
Created On:23-Aug-2013 08:53:47 UTC
Last Updated On:23-Oct-2013 05:05:05 UTC
Expiration Date:23-Aug-2014 08:53:47 UTC
Sponsoring Registrar:GMO Internet, Inc. d/b/a Onamae.com (49)
Created by Registrar:GMO Internet, Inc. d/b/a Onamae.com (49)
Last Updated by Registrar:Afilias Ltd. (700001)
Status:OK
Registrant ID:140AA611B41df141
Registrant Name:ichiro otani
Registrant Organization:otani ichiro
Registrant Street1:Yochomachi5-8
Registrant City:Shinjuku-ku
Registrant State/Province:Tokyo
Registrant Postal Code:162-0055
Registrant Country:JP
Registrant Phone:+81.0333556118
Registrant Email:skdusna@safe-mail.net

コンボ架空請求:M・U・F債権回収株式会社 二階堂正巳 feat. サイバー被害対策特別弁護団

 プレミアム債権回収と東洋ファイナンス、CCS債権回収からの架空請求詐欺が一段落したかと思ったら同じ手口のメールが届き始めた。今度は、M・U・F債権回収株式会社の二階堂正巳とサイバー被害対策特別弁護団

現在、来年に施行される法改正に先がけ、試験的ではありますが、当社が「電子メールでの事項通達」を承っており、[hogehoge@hoge.com]の所持者への通達を行っております。
これは、郵送資源等の削減、及び「郵便物未確認によるトラブル」を防ぐ為であり、電子メールでの通達であれば、コストを抑えての確実な通達が可能となるため、実施しているものとなります。
つまり、「電子メールによる通達はあり得ない」という事象では御座いませんので、その旨はご理解下さい。

 ちょっと文面がアレンジされていて笑う。もっともらしく見えるように工夫したのかもしれないが、取り繕うことに無理があるのでアホな文章になってしまう。

1:法律が変わるのにその法律を示さない。(架空だからな)
2:法律が変わるとしても、施行前にテストケースで行うなど絶対にない。法律の施行日の意味が無い。「消費税が2014年4月1日から 8% になるが、テスト的に我が社は 8% 頂きます」なんて通用しない。
3:地球一周半くらい譲って、文書による通知でなくメールによる通知が採用されたとしても(今のインターネットメールシステムでは絶対に無理だが)、送ってくるのは裁判所だ。胡散臭い債権回収業者から送ってくることはない。

 それ以外は一々突っ込むのも面倒なテンプレート。今日、来るらしかったので、初出で忙しい中早めに帰ってきて待っていたのに。

 送信メールサーバのドメインは mgbadoaeidie.com で珍しく、メールアドレスと同じドメインだ。で、このドメインを Whois で調べてみる。管理者は jirouchou tanaka。

Domain Name: mgbadoaeidie.com
Registry Domain ID:
Registrar WHOIS Server: whois.discount-domain.com
Registrar URL: http://www.onamae.com
Updated Date: 2013-12-26 14:02:15.0
Creation Date: 2013-12-25 16:50:11.0
Registrar Registration Expiration Date: 2014-12-25 16:50:11.0
Registrar: GMO INTERNET, INC.
Registrar IANA ID: 49
Registrar Abuse Contact Email:
Registrar Abuse Contact Phone:
Domain Status: ACTIVE
Registry Registrant ID:
Registrant Name: jirouchou tanaka
Registrant Organization: jirouchou tanaka
Registrant Street1: Shibuya 2-7-14
Registrant Street2: nakamura biru 4F
Registrant City: Shibuya-ku
Registrant State/Province: Tokyo
Registrant Postal Code: 150-0002
Registrant Country: JP
Registrant Phone: 08011743373
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: wkdnzydsnas013s@yahoo.co.jp

 jirouchou tanakaを検索したら「2013/12/31の迷惑メール1号(出会い系サイト「IP」 by Spicazagin co.,ltd.) – ロバの耳 – Yahoo!ブログ」というエントリがヒットした。出会い系のスパムも送っているようだ。jirouchou tanaka は他にも二つドメインを持っているらしい。

 wkdnzydsnas013s@yahoo.co.jp を検索したら、「詐欺債券回収メールキター!【住所すら記載が無いトンデモメールしかも意味不明?】 – おっさんじゃないぜ!」というエントリがヒット。このエントリで取り上げられている s-saikenmbga.com の管理は atsuya Furuta で jirouchou tanaka と同じ住所、メール 、電話番号だ。因みに、atsuya Furuta は 342 のドメインを持っているらしい。onamae.com(GMO)の上得意だ。

 因みに、これらのドメイン(mgbadoaeidie.com、s-saikenmbga.com)を収納しているサーバを検索してみると香港にある同じサーバだ。古田と田中の関係は?

因みに、東洋ファイナンス同様、このメールの後に同じサーバから弁護団を名乗るゴミからメールが送られてくる。当然同じサーバ。

Message-Id:<1296839017.19484483.1388907053749.JavaMail.info@mgbadoaeidie.com>
《355万円》の債務が発生してしまっている事はご存知でしょうか?このままでは財産差し押さえを受けてしまいます!

 更に、サイバー被害対策特別弁護団からのメッセージにあったURLのドメイン fdycgxu.mobi のドメインを調べると。またもや同じ住所で同じメールアドレスwww http://fdycgxu.mobi は出会い系サイト。サイバー被害特別弁護団が出会い系サイトを運営しているのはデフォルトかwww

Domain ID:D7928570-MOBI
Domain Name:FDYCGXU.MOBI
Created On:25-Dec-2013 16:53:58 UTC
Last Updated On:26-Dec-2013 14:35:45 UTC
Expiration Date:25-Dec-2014 16:53:58 UTC
Sponsoring Registrar:GMO Internet, Inc. d/b/a Onamae.com (49)
Created by Registrar:GMO Internet, Inc. d/b/a Onamae.com (49)
Last Updated by Registrar:GMO Internet, Inc. d/b/a Onamae.com (49)
Status:TRANSFER PROHIBITED
Registrant ID:1432AAD4A6C
Registrant Name:hiro tsunoda
Registrant Organization:hiro tsunoda
Registrant Street1:Shibuya 2-7-14
Registrant Street2:nakamura biru 4F
Registrant City:Shibuya-ku
Registrant State/Province:Tokyo
Registrant Postal Code:150-0002
Registrant Country:JP
Registrant Phone:+81.08011743373
Registrant Email:wkdzydsnas013@yahoo.co.jp

フィッシングメール実例:三菱東京UFJ銀行

2013-12-24_spam 日本語がおかしい(赤字)のでピンときた。

下のメールの URL は正規の三菱東京UFJ銀行のログイン画面に行くが、送られてきたメールのリンクをクリックすると右のページが開く。左上のURLを見ると分かる。ドメインは cn.com だ。

試しに架空の契約番号とログインパスワードを入れてみるとログインできた。するとカードの確認番号表を一行ずつ全部入れるように促された。アホや。あんなもんだれでも気づくだろwww

試してみたい方は http://bk.mufg.jp.srs.cn.com/ibg/ を開いて架空の数字を入れてみるとフィッシング詐欺の実態を見ることができます。銀行のログイン画面が http なんてあり得ないすよねwww

しかし、このメールは lolipop から送られているが、charset は GB2312 なので、犯人は日本人ではないのだろう・・・lolipop に報告したほうがいいのか。

【三菱東京UFJ銀行】 <bk@mufg.jp>
Return-Path:<bk@mufg.jp>
Content-Type:text/html;charset=”GB2312″
Content-Transfer-Encoding:8bit
X-Priority:3
X-Mailer:Foxmail 4.2 [cn]
Message-Id:<20131224223921.19928586BFE@smtp-mx10.phy.lolipop.jp>
【三菱東京UFJ銀行】メールアドレスの確認

こんにちは

これは「三菱東京UFJ銀行」から送信されたアカウント確認のメールでございます、お客様はアカウントがロックされないように定期的にチェックしてください。
以下のページより登録を続けてください。

https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

──■□Bank of Tokyo-Mitsubishi UFJ □■──

■編集?発行:株式会社三菱東京UFJ銀行
東京都千代田区丸の内2-7-1
[登録金融機関]関東財務局長(登金)第5号
[加入協会]日本証券業協会
一般社団法人 金融先物取引業協会
一般社団法人 第二種金融商品取引業協会

■ご登録にお心あたりのない場合や電子署名についてのお問い合わせ
<インターネットバンキングヘルプデスク>
0120-543-555
(または042-311-7000(通話料有料))
受付時間/毎日 9:00~21:00

■メールアドレスの変更方法
「三菱東京UFJダイレクト インターネットバンキング?モバイルバンキ
ング」にログイン後、「その他」(スマートフォン?モバイルバンキングの
場合は「各種手続」)から「Eメール通知サービス登録?Eメールアドレス
変更」を選択し、お手続きを行ってください。
http://direct.bk.mufg.jp/index.html

■個人情報保護方針について
三菱東京UFJ銀行では、お客さまの個人情報を適切に保護するため、その
取り扱いにつきましては細心の注意を払っています。
http://www.bk.mufg.jp/kojinjouhou/houshin.html

■本メールの送信アドレスは送信専用となっております。返信メールでのお問
い合わせは承りかねますので、あらかじめご了承願います。

――Copyright(C)2013 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved――

全てゴミ:東洋ファイナンス、CCS債権回収会社、プレミアム債権回収、IT被害特別弁護団

 このサイトのホットコンテンツwww

spam mail もう収まったのかと思って、gmail のフィルタ設定で削除していたのを解除してみたら相変わらずのペースで来ていた。1時間に10本前後のペースで来ていたが午前1時以降は本数が減って5時から再開していた。ゴミメールは深夜時間帯に送ってくれたほうがネットに迷惑にならなくていいのに。

spam mails

 住所が調査済なら裁判所から通知が来るようにしてくれたらいいのに。その前に内容証明を自宅に送ってくれよ。待ってるからwww

 鈴木弁護士は解任されてなかったのか。安心した。ところで、なんで自分宛に複数の債権回収業者からメールが送られてきてることや総額を知ってるん?エスパー鈴木と呼ばせてもらうわwww

 「端末情報調査」ってなんだよ。携帯電話時代かよwww

 「明日差し押さえに伺います」とか「ご自宅へと回収に伺わせて頂きます」とか書いてるのに、来てくれたことは無いじゃん。昨日は一人のクリスマスイブだったのでケーキ買って待ってたのに。

3-k4g63.mobi は架空請求と詐欺弁護団の巣

2013-12-16 23.24.58 今年の8月にドメインを取ったばかりらしい。

 しかし、ドメインの管理者情報にはたどり着けない。

 因みに、3-k4g63.mobi は 18 歳未満禁止のサイト。おそらく、どこかのボタンを押したらIPアドレスとかが表示されて、「個人情報は抜いたから300万払え」とかいうサイトだろう。

あれ?IT問題対策協会 顧問弁護士の小嶋は解任されたん?

images 「ARE債権回収株式会社 山下智之=IT問題対策協会 顧問弁護士の小嶋」小嶋は解任されたらしいwww

 架空のドメインを使い分けるようになったのでフィルターが面倒くさい。送信メールサーバーでフィルターできるといいんだがなぁ。ヘッダを表示して Message-ID の最後が”3-k4g63.mobi”ということは全て同じメールサーバから送られているということだ。前にも書いたが、3-k4g63.mobiはエロサイトをホストしているサーバだ。架空請求スパムの送信メールサーバと被害弁護団が同じサーバ使ってるって奇遇だなぁwww

 右は、不正なことは大嫌いだけど、koboの日本語書籍のタイトル数についてはむにゃむにゃな三木谷社長。彼の眼力(メジカラ)で不正請求は退散できるに違いない。不安ならメーラーのフィルターを設定しよう。

IT被害特別弁護団 ,
Return-Path:
Received:by mail.3-k4g63.mobi (Postfix, from userid 500) id E7B6E1A4803D; Sun, 22 Dec 2013 16:12:50 +0900 (JST)
X-Virus-Status:clean(LOLIPOP-Fsecure)
X-Ex-Selector:S5BCAC6BA91314016951BD6AB45CBBEC7-CheckOK
Mime-Version:1.0
Content-Type:text/plain;charset=ISO-2022-JP
Content-Transfer-Encoding:7bit
Message-Id:<20131222071250.E7B6E1A4803D@mail.3-k4g63.mobi>
【複数業者より合計【1156万円】の債務について通知があるはずです。】※送受信無料メール※

◆メッセージはコチラから◆
(無料メール可能)

http://60zkmwqqp7.g73yxf.mobi/inbox/?hash=bba4948ad683465813b83a0e158d5941&next_url

IT被害特別弁護団の鈴木と申します。

債権回収業者から財産差し押さえ通知が届いてる件についてご連絡しております。

債務問題をしっかりと解決しましょう。

◆ポイント購入はコチラ◆
http://60zkmwqqp7.g73yxf.mobi/service_page/pptuika/?hash=bba4948ad683465813b83a0e158d5941&next_url

PC

架空請求:【APEX】銀行振込決済お振込先口座情報

 会社のTwitterアカウント:@GAM_APEX
 社長のTwitterアカウント:佐藤俊介 ‏ @satou53774677

 しかし、みずほ銀行もこんな口座残しといていいんかね。

APEX自動応答 ,
Received:by web2.apex-payment.com (Postfix, from userid 501) id 180221B005C; Tue, 17 Dec 2013 22:01:20 +0900 (JST)
Message-Id:<20131217130120.180221B005C@web2.apex-payment.com>
【APEX】銀行振込決済お振込先口座情報

※このメールは、銀行振込決済での、購入予約時に自動で送信されております。

この度は、APEX決済サービスをご利用頂き、誠に有難うございます。
下記の口座へお振込み頂ければ決済が完了致します。

–■お振込み先口座情報———————————————-
銀行名   :みずほ銀行
支店名   :第十集中(支店コード: 834)
口座種別  :普通
口座番号  :9747953
口座名義  : 株式会社 ジー・エー・エム
振込金額  :3,000 円
振込人ID  :RPW67875(必ず依頼人名様の欄にご記入下さい。)
——————————————————————–

※上記「振込人ID」をお客様のお名前の代わりに、振込依頼人名としてご記入下さい。
※振込先口座名義である「株式会社ジー・エー・エム」は決済代行会社になります。
 サイト内のサービスや商品については、下記のご利用サイトへ直接お問合せ下さい。

–■ご注文明細 —————————————————–
お問合せ番号:489330
商品名   :ポイント
支払方法  :銀行振込
振込金額  :3,000 円
サイト名  :PC
サイト連絡先:info@to-si-te.com
——————————————————————–

※まだ決済は完了しておりません。
お申込みをキャンセルされたい場合は、本メールを削除して下さい。

※平日15時以降、土日・祝日にお手続きされた場合、
原則として翌営業日の対応となりますので予めご了承下さい。

───────────────────────────────────
【APEXカスタマーサポート】

〜お困りの際は下記URLをご参照下さい〜
https://secure.apex-payment.com/atm.html

■受付時間  :24時間対応
■E-MAIL   :customer@apex-payment.com
■電話番号  :0570-00-7812
■ホームページ:http://www.gam-inc.co.jp/
───────────────────────────────────

※決済専用窓口APEXカスタマーサポートでは、決済に関するご質問を受け付けております。