誘導URLの工夫は続く
Published: 2008/04/30
4月に入ってから増えた手法について。
HTMLエンティティ表記の利用
単純な使い方は、“&”と“;”の間に文字コードを記述して文字を表示するものです。HTML、URIとしては、問題のない使い方のように思いますが、IE以外はうまく表示されません?スパムメール内では誘導URLのアドレス表記として下記のような使い方をして記号部分を置き換えています。
<A href="http://www.aaa.xx.jp">Check med z With us</A> 「http://www.aaa.xx.jp」ってことです。
当然記号だけではなく英数文字部分もこの表記を使えば完璧です。
昔はよくメールアドレスやリンクをWebで公開する際にクローラー対策で「全角文字にしたり」「.を■で置き換えたり」「画像にしたり」する手法と並んで用いられていた?表現手法で、html上は普通の文字列ではないけど、ブラウザで表示される文字列は見たまま、リンクとしてもそのまま利用できるきれいな手法でした。当然スパマさんたちにとってもスパムフィルタ対策として便利なので利用されています。
ハニーポットで観測しているものはすべてgooglepages.comをリダイレクタにしたスパムで利用されています。
ASCIIコード表記
昔からある手法ですが、最近後述のgoogle関係の手法との組み合わせで多く見かけるようになりました。
http://%77%77%77%2e%61%61%61%2e%78%78
これは「www.aaa.xx」のこと。この機能は、ブラウザ、OS依存ですかね。IEなら変換されます。
古くからある同様の方向性の手法としては、誘導URLで指定されるIPアドレスを10進法表記、8進法表記して利用するものなどがあります。これらもブラウザやOS依存の機能でRFC的には規定されていませんが、一般的に通用してしまいます。IE、、、
Google adsの利用
HTTPリダイレクト手法のバリエーションですね。Google adsを使います。
http://www.google.com/pagead/iclk?sa=l&ai=limyHz&num=29684&adurl=http://www.bbb.xx
www.bbb.xxが表示されます。
Google syndicationの利用
これも同じくバリエーション。
http://googlesyndication.com/pagead/iclk?sa=l%26ai=0Ian% 26adurl=http://XXXXX.%69%69%69%69%69/XXX.XXX
検索との組み合わせでさらにバリエーション
なぜかgoogleはIPアドレスを直接指定します。
http://72.14.205.104/url?q=http://googlesyndication.com/pagead/ic lk?sa=l%26ai=0Ian%26adurl=http://XXX.%69%69%69%69/XXX.XXX
Googleのイメージ検索の利用
これも同じくHTTPリダイレクトのバリエーション。
http://images.google.com/imgres?imgurl=http://XXXX.%71%71%71% 69&imgrefurl=http://XXXX.%71%71%71%6d%6d/XXXX
Googleはいろいろ使い道があるんですね。これらの手法がいろいろ組み合わされてバリエーションを増やしています。
リダイレクタとして機能してしまうものがたくさんある問題とは別に、google関係のURLが含まれるとスパムフィルタは通過しやすいご時世なのでしょうか?
:::
と思ったら、、こんなのも、、
NewYorkTimesの利用
http://www.nytimes.com/adx/bin/adx_click.html? type=goto&page=XXX&camp=XXX&ad=XXX&goto=http:// XXX.%69%69%60%60%70%70%70%/XXX/.+XXX "
まぁHTTPリダイレクタの問題は、最近流行っているように見えますが、実際には、2、3年前から問題になってました。最近は手法がこなれてきたという感じでしょうか。対策側でも一部のblacklistでは、いろいろなURIに対してコード変換のバリエーションに対応しているものがあります。
by jyake