読者です 読者をやめる 読者になる 読者になる

tohokuaikiのチラシの裏

技術的ネタとか。

Confluenceのプラグイン開発を承ります。ご連絡はこちらのホームページからお願いいたします。

そろそろ出会い系スパムサイトを本気でモノにしてみる

タイトルは、シゴタノ!の大橋さんの著書「そろそろ本気で継続力をモノにする!」のパクリです。すみません、大橋さん。

注意

このエントリには出会い系サイトのキャプチャ画像があります。18歳未満の方は閲覧を控えてください。

きっかけはスパムメール

きっかけは、幾多のスパムフィルタ*1をくぐりぬけて受信トレイに入った一通のスパムメール

お兄さんこの間はありがとう!
ご飯おいしかったね〜!

ところでゆきのフェラテクはどうやった?
感想聞くのわすれてまったから〜。

もしもう一度おうてくれるんやったら
そん時感想も聞かせてくれる?
メッセージまっとるね!
http://www.78-fepc1csda.com/yuwakuchijo

うーん、なかなかいい感じの関西弁だ。女優でいえば愛里ひなって感じか。

HTMLはひたすらコピペー

HTMLは全部テンプレ化されてて、こんな感じ。

<html>
<head>
<title>********</title>
<style type="text/css">
<!--
.ta1 {
	margin: ***px, 0px, 0px, ***px;
}
-->
</style>
</head>
<body bgcolor="#FCE2FA" text="#FFFFFF" topmargin="50">
<div align="center">
<table width="875" border="0" cellspacing="0" cellpadding="0">
	<tr> 
		<td background="img/back.jpg" width="***" height="***" valign="top">
			<table class="ta1">
				<tr>
					<td width="420" valign="top" align="center">
						<iframe src="(form|frame).html" WIDTH="420" HEIGHT="270" frameborder="0" scrolling="no"></iframe>
					</td>
				</tr>
			</table>
		</td>
	</tr>
</table>
</div>
<!-- ここに忍者ツール -->
</body>
</html>

タイトルタグに改行が入ってたりなかったりするので、ツールじゃなくてコピペで作ってる感じ。

テキストは全くなしで、デカ画像を一つ作ってその中に埋め込み。これは、テキスト修正なんかしない作り捨てサイトっていう見地からはきわめて合理的である。

で、気になるのは、申し込みForm。これは、なぜかFrameになってる。FrameじゃなくてもPosition:Absoluteで、デカ画像もbackground-imageで指定すれば・・・という気もしたが、これには理由があって、Formのサブミット後にそのページ内だけで終わらせたいという意図があるようだ。詳しくは後述。

注目のAction先はこんな感じ。MethodはすべてPOST。

Action先個数
http://www.himitsu777.com/user_add/?ad_code=nkp0110
http://black-6969.org.uk/pc/swform2.php2
http://mailsex-mailsex.org.uk/pc/swform2.php1
http://pc.koi-i.org/new_reg.php1
http://pc.look-i.com/new_reg.php1
http://pc.rara-i.net/new_reg.php1
http://sokuhame-99.org.uk/pc/swform2.php1
http://www.mymad.jp/user.app1
http://xxxx-69.org.uk/pc/swform2.php1

Action先のサイトはさすがにちゃんと作ってる。GETメソッドでアクセスすると普通に画面が出る。

多分、スパム業者はこういったダミーページを大量生産し、その目的はAction先の業者にユーザーを誘導するだけということなんだろうか。
いや、おそらく個別のIDが振られてないのでこれはAction先のページも含めて大きな企業(?)が作っているんだろう。

Action先による調査

以下、Actionさせてみての調査

http://www.himitsu777.com/user_add/?ad_code=nkp01

率直に言って、いかにも出来が悪い。

なにも入力しない場合、

となってしまい、エラーが起こってるもの分かりにくいどころか、再入力ができない。最悪。
これはちゃんと入力しても同じことで、この後に確認画面が来るので「登録ボタン」が押せずアクセスできない。

なんでこんなのに10個もページを使って誘導しているのか理解に苦しむが、多分もうInvalidな過去に使ったページなんだろう。多分今送ってるスパムではこのAction先のURLは使ってないと思われる。

http://black-6969.org.uk/pc/swform2.php

これは、普通に入力できて

となった。

エラーの場合も

となる。親切だ。

ファイル名が同じ
http://mailsex-mailsex.org.uk/pc/swform2.php
http://sokuhame-99.org.uk/pc/swform2.php
http://xxxx-69.org.uk/pc/swform2.php
も当然同じ結果になった。

http://www.mymad.jp/user.app

も登録すると、

となってしまい、よくわからん。Frameを広げると

ってなるのでちゃんとしている。

このFormはJavaScriptで色々入力値チェックをしているので、エラー画面とかは考える必要はないと踏んでいるのだろう。この手のサイトの目的は登録の割合を増やすことなので、その方針は全くもって理にかなっている。

そのJavaScript
http://www.78-fepc1csda.com/warikiri/new_m.js

JavaScript使えないようにしてる人 << POST後のエラー画面で再入力する人

だろうから。

http://pc.koi-i.org/new_reg.php

これは、先ほどのものと同じJavaScriptを使っている。
http://www.78-fepc1csda.com/anatani/s_new_m.js
ただ、最初にコメントが入っているあたり、パワーアップしている様子。

Submitすると

って確認画面が新規Windowで開いて、登録すると

ってなる。

なんか、「あなたに会える」で登録したのに「人妻誘惑倶楽部」になってたりするが、もうサイト名が変わってるとかそんな細かいことは気にしない。

ファイル名が同じ
http://pc.look-i.com/new_reg.php
http://pc.rara-i.net/new_reg.php
も当然同じ結果になると思う。

登場人物一覧とその関係

さて、ここまでの整理。登場人物は

  1. スパム業者
  2. www.78-fepc1csda.com のサイト作ってる人
  3. ****** org.ukのFormを作ってる管理してる人
  4. koi-i.comのFormを作ってる管理してる人
  5. mymad.jpのFormを作ってる管理してる人
  6. himitsu777.comのFormを作ってる管理してる人
  7. 最後に吸い上げる闇の組織

図にすると
クリップボード08
クリップボード08 posted by (C)ITOH Takashi

Thunderbirdの迷惑メールフォルダを見てみたら、www.78-fepc1csda.com を紹介するメールが13通着てて、全部YahooやGooのフリーメール使ってたが、RecievedヘッダをみるとCNCGROUPというスパム送信に利用されることで有名な中国のプロバイダ。

使われているドメインwhois情報を見ると、全部個人である。ただ、この登場人物は全員がばらばらに動いているようだけど、それよりは1つの大きな組織として動いてると思う。ドメイン名はこういう裏事業なので適当な個人名を入れて取得していたり、あるいは担当の個人名だろう。

組織的だなというのは、リンクやFormに個々を判別するIDが埋め込まれておらず、成果が互いにわからないようになっているから。Action先のForm所有者はwww.78-fepc1scda.comの作成者に対し、www.78-fepc1scda.comの作成者はスパム業者に対しその対価を払わなければならないが、IDが無いため成果報酬にできてない。こういう仕事で成果報酬以外のよい報酬体系があるのだろうか?

そう考えると、組織的に一貫してやってるような気がする。

で、その先は

おや、誰かが来たようだ。ノックが、

*1:といっても、サーバ側のBogofilterとThunderbirdスパムフィルタ