@babyjatotttc というtwitterスパマーからスパムtweetが来た。
これまでtwitterでスパムというと、エロ系アイコン使ったフォロースパムか、Mobsterスパム*1というのが目立ったところだと思う。
このtwitterスパマーの手法は、メールのスパムと同じように「@ユーザー名」でターゲットに開かせたいURL付きのtweetを送ってくる。
とりあえずこのtwitterスパマーを「bittly.strangled.netスパム」と呼ぶことにする。
tweetの内容は直近のtweetからランダムに拾ってくるっぽくて、自分にはスペイン語っぽいのがとどいた。
なのですぐにスパムだなとわかったが、直近のtweetだから、日本語のtweetが拾われている例もあった。ここは今後、ターゲットのLANGを見てそれに合わせて拾うtweetをかえてくるように進化するんじゃないかと思う。
また、スパム用アカウントも複数作られているため、アカウント名だけではブロックできない。
で、真の目的はその後のURLを踏ませることなのだが、これは
http://bittly.strangled.net/jJIPV
という感じになっている。
これパッと見「bit.ly」のようなどっかの短縮サービス使ってるように見せかけられているが、それは間違い。
実際には「bittly.strangled.net」というドメインでスパマーのサーバに飛ばされる。そこでスパマーが真に見せたいページを見せられてしまう。
この時、どうも向こうではIPを控えてるみたいで、そのIPから最初のアクセス時しか真に見せたいページは見せないように制限が掛かっており、解析されるのを妨害している。
そのため、2回目以降はふつーのいろんな記事へ単に転送されてしまうので、tweetがスパムだったのか気が付きにくいように工夫されている。
wgetで見てみたところ、簡単なjavascriptを返しているようで、Amazonのwishlist(欲しいものリスト)あたりへ飛ばすことを意図しているような感じ。
<html><body><script> m = 'w'+'indow'+'.'+'loc'+'ation'+'="/wishlist"' done = 0 go = function() { if (!done) eval(m) done = 1 } go();</script></body></html>
ちゃんと確認していないのだが、たぶん同時にAmazonのアフィリエイトのCookieを食わされているのではないかと思う。
この状況から、wishlistに入れておいたもの*2を買うとスパマーにアフィリエイトの金が転がり込むという寸法だ。
URLを踏んだ人がなんらかの金銭的被害をこうむることはないが、スパマーどもを肥え太らすことはスパマーに加担しているのとある意味同じことなので、踏んでしまった場合はクッキーを削除するのが良いでしょう。
さっくりtwitterにスパマー通報はしたのだが、AmazonのアフィリエイトIDも調べてAmazonにも通報したほうが良いだろう。が、アフィリエイトIDがわからん…
(追記)
@elek_tronica さんから、Googleのtweet検索結果より、8/15あたりからこのスパマーが発生しているのではないか、というフォローをいただきました。
(追記)
罠URLをあえて踏んでみたところ、Amazonの英語ページが表示された。
下記は、そのときのhttpリクエストとレスポンス情報。
ここからスパマーのAmazonアフィリエイトIDがわかるでしょうか?ちょっとわからない感じだけど。
Request URL:http://www.amazon.com/gp/product/B003RNXIBK?ie=UTF8&tag=eminem00-20&linkCode=as2&camp=1789&creative=9325&creativeASIN=B003RNXIBK Request Method:GET Status Code:200 OK 【Request Headers】 Accept:application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5 Referer:http://bittly.strangled.net/wishlist User-Agent:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.126 Safari/533.4 【Response Headers】 Content-Encoding:gzip Content-Type:text/html; charset=ISO-8859-1 Date:Tue, 17 Aug 2010 08:15:39 GMT Server:Server Transfer-Encoding:chunked Vary:Accept-Encoding,User-Agent p3p:policyref="http://www.amazon.com/w3c/p3p.xml",CP="AMZN " x-amz-id-1:15W3ZPGXR3BB4B5Y175T x-amz-id-2:8mvCRUhqBDbYFshIIItm7yoxAl9ueW2Z
(追記)
コメントで「匿名」さんとブクマで id:lillicat さんから、アフィIDはリクエストURL中の「eminem00-20」だと教えていただきました。ありがとうございます。
AmazonのアフィリエイトIDは「tag=〜」の部分なんですね。
踏んでみて出てきたのがエミネム関連の商品が紹介されてたので、いわゆる「タグ」指定なのかと騙されてました。
とりあえず英語はしんどいので、日本のAmazon宛に日本語で報告したいと思います。
(2010/8/23 追記)
数日猛威を振るった後一旦はいなくなったのだけども、また同じやつが出てきてる。
今度は張られてるURLが
cthru.mine.nu
となっている。
完全にいたちごっこモード入ったかも。