enchanのメモ書き

計算機とフリルとラブライブ!

架空請求が来たので踏んでみた Part.2

架空請求を踏む 技術

暇です。

暇すぎてヒマワリになりそうです。

英語の発音が安定しない variant のせいで授業はリモートと化し、学年末試験もあるんだかないんだかよくわからない形で終了。
結局クラスメイトとは年明け一度顔を合わせたきり卒業というなんとも (踏ん + 蹴っ)たり な状況に正直狂いそうな今日この頃。

こういう時はどうしようもなくプライオリティの低いタスクをひとつ消化して、何かをやった気になりましょう。

最初にネタバレしておきますが収穫ゼロです。

三度届く架空請求

タイトルでお分かりかと思いますが(youtuberみたいなフリ)、今回のネタはこれです:

そうです。かなり前にやったアレが再びやってきました。まあまあな頻度で来るのでシリーズ化します

踏んでいくぞ

今回のURLはこちら。

https://bit[.]ly/3z4Vczt
# curl -i https://bit[.]ly/3z4Vczt
HTTP/2 301 
server: nginx
date: Thu, 10 Feb 2022 09:38:17 GMT
content-type: text/html; charset=utf-8
content-length: 117
cache-control: private, max-age=90
content-security-policy: referrer always;
location: http://zkfenbkshs[.]duckdns[.]org/
referrer-policy: unsafe-url
set-cookie: _bit=m1a9Ch-a41965e7e7c8e832f9-00A; Domain=bit.ly; Expires=Tue, 09 Aug 2022 09:38:17 GMT
via: 1.1 google
alt-svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000

...

またduckdnsです。ほんとこのサービス一回初期化した方がいいんじゃないですかね。

curl -i http://zkfenbkshs[.]duckdns[.]org/

HTTP/1.1 200 OK
Server: nginx/1.20.1
Date: Thu, 10 Feb 2022 09:39:32 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Last-Modified: Tue, 25 Jan 2022 05:11:56 GMT
Connection: close     
ETag: "61ef869c-0"
Accept-Ranges: bytes

おっと…

どうやら死んでしまっているようです。200を返しているのでサーバは存在すると思う(http://適当な文字列[.]duckdns[.]org とするとホストを解決できない)のですが、 Content-Lengthが0なので本当に何もないようです。

Last-Modifiedを見ると今年の1月25日に変更されたようなので、もう少し早く検証するべきだったかもしれません。

終わりませんよ?

ここで終わるのが普通ですが、今回はもう少し粘ります。 暇人の行動力。

UAをいじってみる

詐欺サイトごとき(大変失礼)がこんなトラップじみたギミックを用意するとは考えづらいですが、UAによってレスポンスを振り分けているという可能性もあります。試してみましょう。

各ブラウザのUAを適当に集めます。

# Safari on macOS
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.2 Safari/605.1.15

# Safari on iOS
Mozilla/5.0 (iPhone; CPU iPhone OS 15_2_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.2 Mobile/15E148 Safari/604.1

# Chrome on macOS
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/98.0.4758.80 Safari/537.36

# Chrome on iOS
Mozilla/5.0 (iPhone; CPU iPhone OS 15_2 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) CriOS/98.0.4758.85 Mobile/15E148 Safari/604.1

結果がこちら。

UA Content-Lengthヘッダ
Safari + mac 0
Safari + iOS 0
Chrome + mac 0
Chrome + iOS 0

悉くダメです。本当にサイトごと消滅してしまっているのでしょうか。

サーバを変えてみる

まだ諦めません。別の環境からアクセスしてみます。

# user@another-server ~ % curl -A "Mozilla/5.0 (iPhone; CPU iPhone OS 15_2_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/15.2 Mobile/15E148 Safari/604.1" -i http://zkfenbkshs[.]duckdns[.]org/
HTTP/1.1 200 OK
Server: nginx/1.20.1
Date: Thu, 10 Feb 2022 09:53:38 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 0
Last-Modified: Tue, 25 Jan 2022 05:11:56 GMT
Connection: keep-alive
ETag: "61ef869c-0"
Accept-Ranges: bytes

うーん…

Connectionヘッダの値が変わりましたが、UAの値によるものではなさそうです。

断念

この他にもいろいろ試した(urlにパスやクエリを付加したり、リクエストの種類を変えてみたり)のですが、どれも結果は変わりませんでした。
正直もっと早く調べておくべきだったというのはほんとうにそれはそうです。

結論:

詐欺サイトにも鮮度がある

今度はもう少し早く踏みに行こうと思いました まる

fflush(stdout)