独り言@パレWorld

日記って苦手で、とにかく、思い付いた時、吐き出したい時に活用する、完全に、パレの主観による、プライベートスペース。
沢山の友達が欲しい訳ではなく、感性の近い人と出会いたい
<< September 2017 | 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 >>
Google
 
RECOMMEND
RECOMMEND
RECOMMEND
パレお勧め
かみさん お気に入り
<< 2015年09月19日のツイート | MAIN | FaceBookスパム続編 >>
FaceBookからスパム? [PC関連
JUGEMテーマ:インターネット

PCにて、メール受信チェックすると・・・
 【Facebookの利用を再開】
という、ちょっと不安を誘うタイトルが。
Fromは、  "Facebook" <security@facebookmail.com>

[facebookmail.com]と言うドメインは、正しいようだけど、これは、いくらでも詐称して配信は可能なので、これだけでは、何も判断できないですよね?

そもそも、ログインは正常に出来ているのに、その問い合わせを、俺がしたとする返信メールってことになると
「俺、夢遊病?」とかって話です。
で、ちょっと調べてみました。

まず、メールの内容は、HTML形式で届くのですが、多分、テキスト形式のまま開かないと、危険かも知れません。
それについての話は、下で書きます。

テキスト形式で、各リンクを削除(クリックでは飛ばない)した、編修後の状態の、メール内容です。

From:     "Facebook" <security@facebookmail.com>
Reply-To: noreply <noreply@facebookmail.com>
To:       ○○登録ユーザー名○○ <△△@△△ 登録メインアドレス>
Subject:  Facebookの利用を再開

Facebookアカウントへのログインに問題が発生したというご連絡をいただいたため、このメールをお送りしています。以下よりアカウント再開を実行できます。 今すぐ利用再開 パスワードのヘルプ 、 ログインのヘルプ もご利用ください。 問題が今も続いている場合や、このメッセージが間違いだと思われる場合は、ログインのヘルプトピックをご覧ください。 https://www.facebook.com/help/login
[a:https://www.facebook.com/n/?help%2・・・省略・・・&n_m=△△%40△△][img:https://static.xx.fbcdn.net/rsrc.php/v2/ys/r/rB1FGBHUBWv.png]


Facebookアカウントへのログインに問題が発生したというご連絡をいただいたため、このメールをお送りしています。以下よりアカウント再開を実行できます。
[a:https://www.facebook.com/n/?help%2・・・省略・・・&n_m=△△%40△△]今すぐ利用再開

[a:https://www.facebook.com/n/?recover%2・・・省略・・・&n_m=△△%40△△]パスワードのヘルプ、[a:https://www.facebook.com/n/?help%2・・・省略・・・&n_m=△△%40△△]ログインのヘルプもご利用ください。
問題が今も続いている場合や、このメッセージが間違いだと思われる場合は、ログインのヘルプトピックをご覧ください。[a:https://www.facebook.com/n/?help%2・・・省略・・・&n_m=△△%40△△]https://www.facebook.com/help/login


このメッセージは mailto:△△%40△△ 宛てに送信されました。 今後Facebookからこのようなメッセージを受けとりたくない場合は、[a:https://www.facebook.com/o.php?k=・・・省略・・・]配信停止することができます。 Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA 94303



要は、ログインが上手く行かないという問い合わせを受けて、調査&対処して、今は、問題ない筈なので、指示通りのリンクへアクセスして、確認して欲しいって内容のようですね。

俺は、そんな問い合わせしてないし、ログインできなくて困るほど、Facebookのアカウントは重要じゃないです。
元々、あるサービス利用の実体験をするために開設したようなもので、友達申請もしてないし、誰とも、繋がってないアカウントです(友達申請が無い)。

なので、どう考えても変だと想ったわけです。

しかし、メールのドメインを見ても、正式ドメインと同じなので「仕方ない、ヘッダーから何からトレースしてみるか」と、今後のためにもと、ちょっと調べてみました。
真っ先に見つけた違いが、エイリアスの違いです。

メールの、[@]の前の部分、エイリアスの部分を見ると、正式な Facebook からのメールの場合、多分、登録ユーザー固有の、ユニークコードが追加されてます。

 notification+ ここ @facebookmail.com

エイリアスの部分は、[notification+]の後に、[ユニークコード]が付いているのが、正式メールだと想います。
過去のメールは、なるべく、最新の数件だけでも、保存しておけってことですね(比較用に)。

上記のことから、仮に、正式な[security]からのメールなら、
 security+[ユニークコード]@facebookmail.com
となる筈ですね。

次に、一番面倒な、ヘッダー・・・と想ったのですが、予想以上に面倒そうなヘッダーでした。
実は、 Facebook からのメールヘッダーは、今回、初めて見ました(笑)
で、詐称可能な直近を飛ばして、最初の経由サーバー付近で吐かれた部分を見るのですが、さすが、セキュリティ対策に気を配っていると想われる、様々なコードが付加されてます。
このコード単位で比較するのかと思うとウンザンリしたので「ここは置いといて」と、ヘッダーの解析は逃げました(^^ゞ

「リンクだろっ、怪しいのって」と想ってリンクをトレースしてみました。

すると、直ぐに怪しいリンクが最初にあります。
ページへのリンク設定と一緒に、画像のリンクがついてますよね?
 [img:https://static.xx.fbcdn.net/rsrc.php/v2/ys/r/rB1FGBHUBWv.png]
これです。

[static.xx.]って、すんごい怪しいですよね?

で、 Facebook のサーバーと、上記の画像のサーバーと比較してみました。
すると、これも初めて知ったのですが、 Facebook のサーバーって、運営組織の項目には、[ Facebook ]なんて書いて無いからですからね。
しかも、州だけ書くと、アメリカの[オレゴン州]と出ます。
ネットワークセグメントは、[173.0.0.0 - 173.255.255.255]です(ネットワーク名まで知りたい人は調べてね)。

しかし、画像のサーバーは、運営組織の項目に、しっかりと[Facebook]と出ます(笑)
で、アメリカ[イリノイ州]のシカゴで、ネットワークセグメントは、[31.13.74.0 - 31.13.74.255]で、ネットワーク名は[ORD1]です。

で、その画像って?
ファイルとしては、24×24ピクセルの、画像形式のファイルとなっているのですが、それは、拡張子[png]からの情報だと思うのですけどね、表示させても(安全なサイトを経由させて表示させてみました)、真っ白でした。
なので、画像として、アクセスさせると、何かをするんだと想います。

つまり、ログイン操作をしなくても、このメールを、HTML形式で開くと、裏で、何かをするんだと想います。
それを調べるのは、知識も無く、さすがに不安なので、他の方に任せます。

ってことで、出来れば、新規アドレスからのメールは、常に、テキストモードで開くように設定してないと、これからは、危険かも知れないです。
 
12:46 | PC関連 | comments(2) | trackbacks(0)
参加中ブログランキング→
良ければ、レビューしてちょ
Comment
- (2015/12/27 6:05 PM)
管理者の承認待ちコメントです。
パレ (2016/01/17 3:51 PM)
承認待ちコメントは、内容については問題ないのですが、丁寧にも、メールアドレスの記載があるので、投稿者の 確認待ち です。
記載のメールにて、そのまま承認して公開すると、メールアドレスが、リンクとして公開されるので「問題ありませんか?」と、同メールアドレス宛に問い合わせ中です。

このまま、半年以上、返信がなかったら、この説明投稿と一緒に、削除する予定です。
コメントする   コメントの際、必ず、こちらを御読みください。









この記事のトラックバックURL   トラックバックの際、必ず、こちらを御読みください。
url: http://soliloquy.pare-world.net/trackback/1040323