2013년 11월 26일 화요일

스펨메일 추적 방법

자료출처: 안철수 바이러스 연구소


스팸메일을 추적하려면 어떻게 하나요?
인터넷이 발전함에 따라 많은 사람들이 스팸메일 때문에 고생하고 있습니다. 간단히 이 문제에 대해서 살펴보죠.

여기 스팸 추적과 관련한 간단한 예가 있습니다. (D. J. Vanecek(djv@bedford.net) 제공)


이 스팸은 스팸 헤더에 적힌 시간에 수신되었습니다. 추적은 간단합니다.

| From sales@canus.net Sat Jun 27 02:42:41 1998
| Return-Path:
| Received: XXXXXXXXXXXXXXXXXXXXX CENSORED XXXXXXXXXXXXXXXXXXX

이것은 무시하세요.

| From: sales@canus.net
| Received: from CENSORED XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
| by castor.loco.net (fetchmail-4.3.8 POP3)
| for (single-drop); Sat, 27 Jun 1998 02:42:41 EDT pop을 통해서 메일을 수신했다는 것을 나타냅니다.
| Received: from server ([199.174.152.215]) by XXXXXXXXXXXXXXXXXXXXXXXXXXXX
| with SMTP (IPAD 1.52/64) id 4950800 ; Sat, 27 Jun 1998 02:39:13 EST

이 헤더는 중요한 정보를 담고 있습니다. 이것은 내가 이용하는 ISP 측에서 스패머로부터 메일을 받고 있거나 혹은 스팸메일을 중계해주는 서버로부터 메일을 받고 있다는 것을 나타냅니다. 여기서는 그것이 어느 서버인지 알 수는 없습니다. ISP 에서는 IPAD를 사용하고 있습니다.따라서 우리는 메일 수신 시간이 제대로 되어 있다고 확신할 수가 없게 되었습니다.(중요)


| Date: Sat, 27 Jun 1998 01:00:59

여기서의 날짜는 옳을 수도 있고 그렇지 않을 수도 있습니다. 이 정보는 스팸메일을 추적하는 것과는 아무 상관이 없을지도 모릅니다. 왜냐면 이 정보는 주로 스패머의 시스템에서 생성되기 때문에 믿을 수가 없죠.


| Subject: Need A Loan?
| Message-Id: <199806270639.4950800@XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX>
| Apparently-To: XXXXXXXXXXXXXXXXXXXXXXX (me, correct email was here)

To: 헤더가 없는 것으로 봐서 한꺼번에 많은 메일을 날리는 것으로 해석할 수 있습니다.


| Status: RO
|
| Are You in Debt?
|
| If you are then we can help!
| Qualifying is now at your fingertips and there are no
| long distance calls to make or travel plans to arrange.
|
| We are American Capital Corporation, and as you may have seen in our ad,
| you can be loaned up to 125% of the value of your home or up to $100,000.00
| even if you have NO equity in your home!
| There are NO up-front or advanced fees of any kind!
| You can be approved WITHIN 24 hours and
| have your cash in one weeks time!
|
| We will provide you with a FREE loan evaluation, without obligation.
| All you need do is go to our website and answer a short questionnaire.
| One of our registered lenders will assess your information and give you
| a personal call within 48 hours telling you how we can help you!
|
| You are never under any obligation to use our services, but they are
| there for you!
|
| For complete information, please visit our website at:
| http://www.canus.net/amcap/129.html

나중에 이 웹사이트를 방문하게 됩니다.


|
| Our business is helping people. May we help you?

이 스팸메일이 어디로부터 날아왔는지 알아봅시다. 우리는 메일 헤더로부터 199.174.152.215 의 IP 어드레스를 가진 머신이 스팸메일을 날려보내는 데 사용되었음을 알 수 있었습니다. ping 메시지를 보내 보았지만 반응이 없었습니다.

nslookup을 사용해 보니


[djv@castor djv]$ fg -
nslookup
199.174.152.215
Server: localhost
Address: 127.0.0.1

Name: dd35-215.dub.compuserve.com
Address: 199.174.152.215

>

따라서 이 스패머는 컴퓨서브 "throwaway" 계정을 이용하고 있다는 사실을 알아 냈습니다. 이것은 IP 어드레스가 유동적으로 변하는 다이얼업 접속인것 같군요. traceroute을 이용해본 결과 접근이 되지 않는 걸로 봐서 스패머는 어디론가 도망쳤다고 볼 수 있습니다. 비슷한 사이트인 199.174.152.1 로 traceroute 을 적용해볼 결과


[djv@castor djv]$ traceroute 199.174.152.1
traceroute to 199.174.152.1 (199.174.152.1), 30 hops max, 40 byte packets
3 bordercore4-hssi5-0-24.NorthRoyalton.mci.net (166.48.232.97) 159.816 ms 658.176 ms 730.623 ms
4 core2.WillowSprings.mci.net (204.70.4.177) 159.222 ms 158.668 ms 149.832 ms
5 borderx1-fddi-1.WillowSprings.mci.net (204.70.104.52) 239.834 ms 298.712 ms 330.386 ms
6 compuserve.WillowSprings.mci.net (204.70.104.102) 169.325 ms 148.648 ms 149.875 ms
7 core-fddi0.chi.compuserve.net (205.156.223.161) 239.890 ms 158.549 ms 149.933 ms
8 atm1-06-core.dub.compuserve.net (205.156.223.113) 159.801 ms 148.613 ms 149.868 ms
9 fddi0-ppp-2.dub.compuserve.net (205.156.223.72) 149.805 ms 148.702 ms 149.804 ms
10 dub-dial-10.compuserve.net (206.175.65.25) 149.789 ms 148.658 ms 149.977 ms
11 dd10-001.dub.compuserve.com (199.174.152.1) 399.829 ms 478.724 ms 400.485 ms
[djv@castor djv]$

이 결과는 이 스패머가 컴퓨서브 계정을 통해서 스팸을 뿌렸다는 우리의 믿음을 더욱 확고하게 해 줍니다.

그렇지만 이 스패머에 관한 다른 정보는 어디 있나요?

"canus.net" 은 누구입니까? 그쪽도 추적해 보아야 하나요?

"canus.net" 으로 traceroute 명령을 적용해본 결과


| 3 bordercore4-hssi5-0-24.NorthRoyalton.mci.net (166.48.232.97) 169.821 ms 138.943 ms 149.408 ms
| 4 core3.Atlanta.mci.net (204.70.4.9) 279.872 ms 358.830 ms 369.607 ms
| 5 ast-uunet-nap.Atlanta.mci.net (206.157.77.114) 159.785 ms 138.895 ms 159.844 ms
| 6 104.ATM2-0-0.XR1.ATL1.ALTER.NET (146.188.232.50) 139.872 ms 158.687 ms 139.946 ms
| 7 195.ATM5-0-0.GW1.MIA1.ALTER.NET (146.188.232.137) 179.745 ms 188.757 ms 199.900 ms
| 8 bs-miami-gw.customer.alter.net (157.130.65.222) 199.871 ms 208.626 ms 199.989 ms
| 9 207.203.0.160 (207.203.0.160) 199.758 ms 188.954 ms 209.890 ms
| 10 172.25.80.90 (172.25.80.90) 199.859 ms 199.436 ms 199.321 ms
| 11 205.152.190.251 (205.152.190.251) 189.876 ms 218.826 ms 229.904 ms

여기 마지막 부분에 적혀있는 호스트는 IP 어드레스로부터 도메인 네임으로의 변환이 불가능한 호스들이며 마지막 라인은 canus.net 의 IP 어드레스입니다. whois canus.net 을 실행해본 결과는 다음과 같습니다.


| Registrant:
| CanUS Net (CANUS2-DOM)
| 1 First ST West
| Gander, NFL D3K J7P
| CA

여기 적힌 바에 따르면 이 회사는 캐나다에 위치하고 있군요. 사업은 미국에서 하고 있으면서 왜 이렇게 멀리 떨어진 곳에 위치하고 있을까요?


|
| Domain Name: CANUS.NET
|
| Administrative Contact:
| Franklin, Bob (BF3584) dehal@USA.NET
| 360-695-3850
| Technical Contact, Zone Contact:
| Franklin, Bob (BF3585) dontcomplaintome@USA.NET

전자우편 주소가 나와 있으니 좋은 단서가 될수 있습니다.


| 360-695-3850
| Billing Contact:
| Franklin, Bob (BF3584) dehal@USA.NET
| 360-695-3850

여기 전자우편 주소가 USA.NET이라는 사실에 주목해야 합니다. 그들은 자신들이 등록한 도메인의 전자우편 주소를 이용하지 않고 있으며 고정된 이메일 주소를 이용하지 않습니다. 여기 적혀있는 전화번호 또한 허위일 가능성이 매우 높죠. 여기 적혀있는 사람(Bob Franklin)이 스패머입니다.

이 사람은 모든 연락을 거부합니다. 전화도, 메일도, 다른 어떤 방법으로도 연락이 되지 않습니다. 스팸 메일을 뿌리는 사람들의 전형적인 특징이죠.

스팸메일을 뿌리고자 하는 나라가 아닌 다른 나라에 위치한다. 컴퓨서브나 아메리카 온라인(AOL), 스프린트넷 등의 대형 ISP 계정을 이용한다.


|
| Record last updated on 19-Jun-98.

스팸메일을 위한 도메인이 매우 최근에 개설되었습니다. 겨우 일주일 전이군요. 아마도 이 도메인은 곧 없어져도 괜찮다고 이 스패머는 생각할 것입니다. 이것은 커다란 스팸메일을 뿌리는 사람들의 전형적인 습성입니다.


| Record created on 19-Jun-98.
| Database last updated on 26-Jun-98 04:01:02 EDT.
|
| Domain servers in listed order:
|
| NS1.NAMESERVER1.NET 205.152.190.208
| NS2.NAMESERVER1.NET 205.152.190.209

누군가가 이 스패머에게 DNS 서비스를 제공하고 있습니다. 만약 이 서비스를 제공하는 곳이 믿을만한 곳이라면 그쪽으로 스팸메일을 보내고 있는 도메인에게 서비스를 제공하고 있다고 알려 주어야 합니다.


|
| The InterNIC Registration Services database contains ONLY
| non-military and non-US Government Domains and contacts.
| Other associated whois servers:
| American Registry for Internet Numbers - whois.arin.net
| European IP Address Allocations - whois.ripe.net
| Asia Pacific IP Address Allocations - whois.apnic.net
| US Military - whois.nic.mil
| US Government - whois.nic.gov

이제 누가 이 스패머에게 DNS 서비스를 제공하고 있는지 알아보기 위해 whois 서비스를 이용합니다.


whois 205.152.190.

결과는 다음과 같습니다.


| [No name] (MORR-HST) MORRISON.PHICOM.NET 205.152.190.130
| [No name] (DRAKE4-HST) DRAKE.PHICOM.NET 205.152.190.131
| [No name] (NS19481-HST) NS.DCSOUTHFLORIDA.COM 205.152.190.2
| [No name] (NS41802-HST) NS1.NAMESERVER1.NET 205.152.190.208
| [No name] (NS42268-HST) NS2.NAMESERVER1.NET 205.152.190.209
|
| To single out one record, look it up with "!xxx", where xxx is the
| handle, shown in parenthesis following the name, which comes first.
|
| The InterNIC Registration Services database contains ONLY
| non-military and non-US Government Domains and contacts.
| Other associated whois servers:
| American Registry for Internet Numbers - whois.arin.net
| European IP Address Allocations - whois.ripe.net
| Asia Pacific IP Address Allocations - whois.apnic.net
| US Military - whois.nic.mil
| US Government - whois.nic.gov
|

"Phicom.net" 에서 이 스패머에게 DNS 서비스를 제공해 주고 있는것 같습니다. 여기는 또 어떤 곳인지 알아보기 위해 whois 서비스를 또 이용합니다.


whois phicom.net

| Registrant:
| Phicom, Inc (PHICOM-DOM)
| 1370 W. Flagler St Suite C
| Miami, Florida 33135

주소에 적힌 대로 플로리다주 마이애미에 위치한 임대 사무실에 있군요. 아마도 스패머는 이곳에 살고 있을 가능성이 매우 높습니다.


|
| Domain Name: PHICOM.NET
|
| Administrative Contact, Technical Contact, Zone Contact:
| Dominguez, Alvio (AD1820) Alvio124@PHICOM.NET
| 305-642-2638 (FAX) 305-541-0608
| Billing Contact:
| Baptista, Daniel (DB5797) Daniel34@PHICOM.NET
| 305-642-2638 (FAX) 305-541-0608
|
| Record last updated on 30-Apr-97.
| Record created on 02-Apr-97.
| Database last updated on 26-Jun-98 04:01:02 EDT.

이곳은 등록한지 일년이 넘었군요. 여기서는 스팸메일을 한번 뿌리고 치고 빠지기 식의 그런 행동은 하지 않을 것입니다.


|
| Domain servers in listed order:
|
| MORRISON.PHICOM.NET 205.152.190.130
| DRAKE.PHICOM.NET 205.152.190.131
|
|
| The InterNIC Registration Services database contains ONLY
| non-military and non-US Government Domains and contacts.
| Other associated whois servers:
| American Registry for Internet Numbers - whois.arin.net
| European IP Address Allocations - whois.ripe.net
| Asia Pacific IP Address Allocations - whois.apnic.net
| US Military - whois.nic.mil
| US Government - whois.nic.gov

이제 www.phicom.net 으로 lynx 웹브라우저를 이용해서 한번 접속해 보겠습니다. 홈페이지가 있을것 같은데 다음과 같은 내용의 홈페이지를 가지고 있군요.


|
| [INLINE] 1380 W. Flagler St. Miami, FL 33135 1(888) 642-2NET (305)
| 642-2638

NIC 에 등록된 정보와 일치합니다.


|
| You are the [INLINE] visitor to our site.
|
| * World Wide Internet/Access * U.S. Robotics X 2 technology * Local /
| Wide / Global Area Networks * Hardware / Software Sales * Web Site
| Hosting & Construction * Service Repair Center * IBM Business Partner
| * Hewlett Packard Warranty Service Center
|
|
|

여기는 합법적인 ISP 인것 같습니다. 하드웨어 관련 사업도 함께 하고 있군요. IBM이나 HP같은 대형 회사의 계열 회사라면 이곳이 스팸메일을 위한 도메인으로 활용되진 않을 가능성이 크죠. 따라서 이쪽에다 스패머에게 DNS 서비스를 제공하고 있는 것에 대해 알려 주어야 합니다.

스팸메일에 적혀있는 웹페이지는 어디일까요? 거기도 한번 방문해 봅시다. http://www.canus.net/amcap/129.html 이었죠. 거기로 가보겠습니다.


| [INLINE]
| Mortgage Services
|
|
|
| Are you in debt?
|
| If you are then we can help. Qualifying is now at your fingertips and
| there are no long distance calls to make or travel plans to arrange.
|
| As you may have seen in our ad you can be loaned up to 125% of the
| value of your home or $100,000.00 even if you have NO equity in your
| home. There are no up-front or advanced fees of any kind. You can be
| approved within 24 hours and have your cash in one weeks time.
|
| In order for us to provide you with a FREE loan evaluation we must ask
| for the following so that a representative can contact you via the
| telephone within 24-48 hours.
| * indicates required fields
| *Name ____________________
| *Address ____________________
| ____________________
| *City ____________________ *State ___ *Zip __________
| *Home Phone ____________________
| Work Phone ____________________
| *Email Address ____________________
| Best Time to Call ____________________
| Type of Home [None Selected......]
| Estimated Value of Home ____________________
| Current Debt Against
| Home(Loan Balance): ____________________
| Type of Loan Requested [None Selected.....]
| Amt. of Loan Requested ____________________
| Total Household Income ____________________
| Credit Rating [None Selected]
|
| To send this information to American Capital, press the Submit button;
| To clear this form and start again, press the Reset button.


그들은 여러분의 신상에 관한 자세한 정보를 요구하면서도 자신들에 대해서는 별로 밝히지 않고 있습니다. 조심해야 합니다.


|
| SubmitReset
|
| About our company:
|
| We are a FREE national referral service for homeowners seeking to
| consolidate their bills. We have a network of affiliated companies
| that are regarded as the best and most respected mortgage banking
| companies in the country. You can rest assured that you are in good
| hands and will receive extraordinary service with our affiliated
| companies, for we only allow in our association and work with the
| absolute best companies in the nation.
|
| You may reach us at:
|
| American Capital Mortgage Services
| 1-212-796-6549
|
|
| We do not promote SPAM or UBE.
| Please be assured that we are doing everything we can
| to ensure that our users do not abuse this policy.
|

이쪽으로 어떻게 접속할 수 있는지 알아보기 위해 traceroute 을 사용해 보겠습니다.


[djv@castor djv]$ traceroute www.canus.net
traceroute to www.canus.net (205.152.190.251), 30 hops max, 40 byte packets

4 core3.Atlanta.mci.net (204.70.4.9) 209.895 ms 158.635 ms 199.880 ms
5 ast-uunet-nap.Atlanta.mci.net (206.157.77.114) 199.820 ms 148.672 ms 139.873 ms
6 104.ATM2-0-0.XR1.ATL1.ALTER.NET (146.188.232.50) 189.844 ms 168.612 ms 149.935 ms
7 195.ATM5-0-0.GW1.MIA1.ALTER.NET (146.188.232.137) 209.791 ms 198.624 ms 199.881 ms
8 bs-miami-gw.customer.alter.net (157.130.65.222) 199.831 ms 198.651 ms 199.884 ms
9 207.203.0.160 (207.203.0.160) 209.834 ms 160.053 ms 199.343 ms
10 172.25.80.90 (172.25.80.90) 209.514 ms 209.896 ms 179.381 ms
11 205.152.190.251 (205.152.190.251) 209.781 ms 168.693 ms 199.847 ms

[djv@castor djv]$

205.152.190.251 는 phicom.net 아래에 있다는 것을 알게 되었습니다. 그러므로 phicom.net 은 DNS 서비스뿐만 아니라 실제 인터넷 접속까지 함께 제공하고 있는 셈이죠.

이제 거의 다 잡은 셈입니다.

우리는 이 스패머가 사용하고 있는 usa.net 과 컴퓨서브로 스패머가 있다는 사실을 알려줄 수 있고 스패머가 실제로 사용하고 있는 phicom.net 에도 같은 사실을 알려주는 등의 행동을 취할 수 있습니다.

usa.net 이나 컴퓨서브 에서는 스패머의 계정을 취소할 수 있습니다만 phicom.net 에서는 자신들이 스패머에게 이용당하고 있다는 사실조차 모르고 있을 가능성도 있습니다. 스패머들에 대해서 무지한 ISP 도 많이 있기 때문입니다.

스패머에게 스팸메일을 뿌리지 말라고 경고하는 것은 별 의미가 없고, 이쪽에서 할 수 있는 수동적인 조치는 phicom.net 으로부터 송신되는 모든 메일을 거부하도록 설정해 주는 것입니다. 그래서 나중에 phicom.net 으로부터 스패머의 웹사이트가 삭제되었다는 확실한 통지를 받은 후에 다시 메일을 원래대로 받을 수 있도록 설정하는 것 정도가 이쪽에서 할 수 있는 일의 전부입니다.

댓글 없음:

댓글 쓰기