釣りメールが届きましたよ。あまり珍しくはないパターンだけど、
<http://404207037:81/update/index.php?MfcISAPICommand=SignInFPP>https://www.paypal.com/cgi-bin/webscr?cmd=_login-run
ってな具合に偽装してあって、URLを読み解くことができたとしても「404207037」って何じゃ?とかいう向きは欺せちゃう、というものですね。ってかそもそもhttpsの正体がhttpってのがちょっと笑えます。さらに言えば:81ってのがポート番号なんだけど、81はちょっとなあ(苦笑)。httpsってのはまあ普通は443を用いるので、そういう意味では二重にボロが出てますね。
このメールはここ数日出回っているものみたいすねー。メールヘッダは偽装できるんだけど、いちおうヒントっぽい材料があって、
Received: from 46.175.8.112 by ; Tue, 01 Aug 2006 20:07:06 -0400 Message-Id:From: "PayPal" Reply-To: "PayPal" ] To: ないしょの宛先ヽ(´ー`)ノ Subject: Notification of Security Measures Date: Tue, 01 Aug 2006 22:01:06 -0200 X-Mailer: Microsoft Outlook Express 6.00.2462.0000 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="--124443027482839643" X-Priority: 1 X-MSMail-Priority: High
Outlook Expressで出してるのはそれっぽいですね。ヘッダとか見てる限りでは。
関連の情報はこのあたりにもありますね。
http://phishtank.internetdefence.net/data/780
ここを見ればおわかりのとおり、404207037てのは24.23.181.189の別表記ですね。こういうやり方にすると、ちょっとチェック方法を知ってるだけだと騙されてしまう可能性が出てきますかねえ。
ヘッダにあるearthlink.netってのはなんかwww.earthlink.netってのが普通にありますね。ここ経由なのかなあ?もうひとつ、46.175.8.112というIPが残ってますが、これはIANAリザーブみたいですね。とかいう情報はここらでGETできます。
サイバーエリアリサーチ株式会社
さらに詳しく見るとき、こういうページで参照することもできますね。
IPアドレス一覧【whoisサーバ一覧】
「ボルトベラネク&ニューマン社(アメリカ)」ってのは何だろ(笑)?
paypal.comでnslookupコマンドでIPアドレス引いてみると、
Non-authoritative answer: Name: paypal.com Addresses: 216.113.188.64, 64.4.241.32, 64.4.241.33, 216.113.188.34
というふうに答えが返ってきます。このあたりから見ると、まーどう見てもpaypalから送られてきているものじゃなさそうすね(ってそんなこと先刻承知かw)。
飛び先の画面はこんな感じだよん。
フィッシングに使われてしまっている?サーバーって、どうやらWindowsServer2003でIIS6.0が動いているみたいだけど、81番ポートはServer: Apache/2.0.55 (Win32) PHP/4.4.1とかいうシグネチャですね。これ、そういう具合にリダイレクトとかNAPTとかしてるのか、同じマシンなのか、そこらまでは判然としませんけどねえ。