2007年04月19日

ワンクリスパム(5)

ワンクリック詐欺スパムに、誘導先URLに送信先メールアドレスを埋め込んで来る手法は前述の通りですが、その2月19日から手法を変えてきました。
(30)
送信者: "新バラエティー" (hb6uy5674wby4w456w53@yahoo.co.jp)
件名 : バラエティー噴射の神様
日時 : 2007年2月20日 9:15

「女性の神秘…潮」神秘の潮吹きワールドへようこそ!ゴールドフィンガーズの前にはすべてのオンナたちがひれ伏す!!

ttp://www.jazlbl.com/(略:type5)
超絶テクにたまらず噴射!噴射!大噴射!回数、量ともハンパじゃない!最後の一滴まで出し尽くす!!

美しい放物線上に描かれる極上バラエティーの決定版!!

ttp://www.jazlbl.com/?bc=*******=#MAILENC#




配信拒否:cancel@jazlbl.com
誘導URLの2つの内2つめのものは、******はスパムの文面を示しますが、
送信先メールアドレスを埋め込こむプログラムの関数をそのまま送ってきてしまった物のようです。お間抜けです。

さて問題は1つめの方。******=に続き、受信者メールアドレスを新しい暗号化の上送信して来ました。
ASCIIコード化は簡単に見破られたため、メールアドレスを換字式暗号化し末尾に数字二桁を添付したものです。
換字式暗号は1文字を別の1文字に置き換えるものです。例として有名なものはシーザー暗号で、a→d、b→e…という風にアルファベットを一定量ずらします。
このスパムではこの例では"@"→"I"…"j"→"F"、"p"→"0"などと変換されており、単純な変換則はないようで、テーブル(変換表)で置き換えるものでしょう。
サンプルが沢山集まればメールアドレスに使われる文字全部の変換表を作れたのですが、個人的に余り例が集まらず21文字ほどしか判明せず、最後の2桁数字の出し方もわかりませんでした。
但し、同じメールアドレスには同じ文字列しか来ないため、メールアドレスを暗号化していることは明白でした。
その(6)へ
posted by 末期ぃ at 23:54 | ☁ | ワンクリック詐欺 | Comment(0) | TrackBack(0)
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス: [必須入力]※公開はしません

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック