스팸메일 주소록 팝니다!

안녕하세요..
안철수연구소에서 있는 내용임을 밝혀듭니다.

스팸메일을 추적하려면 어떻게 하나요?
인터넷이 발전함에 따라 많은 사람들이 스팸메일 때문에 고생하고 있습니
다. 간단히 이 문제에 대해서 살펴보죠.

여기 스팸 추적과 관련한 간단한 예가 있습니다. (D. J. Vanecek
(djv@bedford.net) 제공)

이 스팸은 스팸 헤더에 적힌 시간에 수신되었습니다. 추적은 간단합니다.

| From sales@canus.net Sat Jun 27 02:42:41 1998
| Return-Path:
| Received: XXXXXXXXXXXXXXXXXXXXX CENSORED XXXXXXXXXXXXXXXXXXX

이것은 무시하세요.

| From: sales@canus.net
| Received: from CENSORED XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
| by castor.loco.net (fetchmail-4.3.8 POP3)
| for (single-drop); Sat, 27 Jun 1998 02:42:41 EDT pop을 통해서 메일
을 수신했다는 것을 나타냅니다.
| Received: from server ([199.174.152.215]) by
XXXXXXXXXXXXXXXXXXXXXXXXXXXX
| with SMTP (IPAD 1.52/64) id 4950800 ; Sat, 27 Jun 1998 02:39:13
EST

이 헤더는 중요한 정보를 담고 있습니다. 이것은 내가 이용하는 ISP 측에
서 스패머로부터 메일을 받고 있거나 혹은 스팸메일을 중계해주는 서버로
부터 메일을 받고 있다는 것을 나타냅니다. 여기서는 그것이 어느 서버인
지 알 수는 없습니다. ISP 에서는 IPAD를 사용하고 있습니다.따라서 우리
는 메일 수신 시간이 제대로 되어 있다고 확신할 수가 없게 되었습니다.
(중요)

| Date: Sat, 27 Jun 1998 01:00:59

여기서의 날짜는 옳을 수도 있고 그렇지 않을 수도 있습니다. 이 정보는
스팸메일을 추적하는 것과는 아무 상관이 없을지도 모릅니다. 왜냐면 이
정보는 주로 스패머의 시스템에서 생성되기 때문에 믿을 수가 없죠.

| Subject: Need A Loan?
| Message-Id:
<199806270639.4950800@XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX>
| Apparently-To: XXXXXXXXXXXXXXXXXXXXXXX (me, correct email was
here)

To: 헤더가 없는 것으로 봐서 한꺼번에 많은 메일을 날리는 것으로 해석
할 수 있습니다.

| Status: RO
|
| Are You in Debt?
|
| If you are then we can help!
| Qualifying is now at your fingertips and there are no
| long distance calls to make or travel plans to arrange.
|
| We are American Capital Corporation, and as you may have seen in
our ad,
| you can be loaned up to 125% of the value of your home or up to
$100,000.00
| even if you have NO equity in your home!
| There are NO up-front or advanced fees of any kind!
| You can be approved WITHIN 24 hours and
| have your cash in one weeks time!
|
| We will provide you with a FREE loan evaluation, without
obligation.
| All you need do is go to our website and answer a short
questionnaire.
| One of our registered lenders will assess your information and
give you
| a personal call within 48 hours telling you how we can help you!
|
| You are never under any obligation to use our services, but they
are
| there for you!
|
| For complete information, please visit our website at:
| http://www.canus.net/amcap/129.html

나중에 이 웹사이트를 방문하게 됩니다.

|
| Our business is helping people. May we help you?

이 스팸메일이 어디로부터 날아왔는지 알아봅시다. 우리는 메일 헤더로부
터 199.174.152.215 의 IP 어드레스를 가진 머신이 스팸메일을 날려보내
는 데 사용되었음을 알 수 있었습니다. ping 메시지를 보내 보았지만 반응
이 없었습니다.

nslookup을 사용해 보니

[djv@castor djv]$ fg -
nslookup
199.174.152.215
Server: localhost
Address: 127.0.0.1

Name: dd35-215.dub.compuserve.com
Address: 199.174.152.215

>

따라서 이 스패머는 컴퓨서브 "throwaway" 계정을 이용하고 있다는 사실
을 알아 냈습니다. 이것은 IP 어드레스가 유동적으로 변하는 다이얼업 접
속인것 같군요. traceroute을 이용해본 결과 접근이 되지 않는 걸로 봐서
스패머는 어디론가 도망쳤다고 볼 수 있습니다. 비슷한 사이트인
199.174.152.1 로 traceroute 을 적용해볼 결과

[djv@castor djv]$ traceroute 199.174.152.1
traceroute to 199.174.152.1 (199.174.152.1), 30 hops max, 40 byte
packets
3 bordercore4-hssi5-0-24.NorthRoyalton.mci.net (166.48.232.97)
159.816 ms 658.176 ms 730.623 ms
4 core2.WillowSprings.mci.net (204.70.4.177) 159.222 ms 158.668 ms
149.832 ms
5 borderx1-fddi-1.WillowSprings.mci.net (204.70.104.52) 239.834 ms
298.712 ms 330.386 ms
6 compuserve.WillowSprings.mci.net (204.70.104.102) 169.325 ms
148.648 ms 149.875 ms
7 core-fddi0.chi.compuserve.net (205.156.223.161) 239.890 ms 158.549
ms 149.933 ms
8 atm1-06-core.dub.compuserve.net (205.156.223.113) 159.801 ms
148.613 ms 149.868 ms
9 fddi0-ppp-2.dub.compuserve.net (205.156.223.72) 149.805 ms 148.702
ms 149.804 ms
10 dub-dial-10.compuserve.net (206.175.65.25) 149.789 ms 148.658 ms
149.977 ms
11 dd10-001.dub.compuserve.com (199.174.152.1) 399.829 ms 478.724 ms
400.485 ms
[djv@castor djv]$

이 결과는 이 스패머가 컴퓨서브 계정을 통해서 스팸을 뿌렸다는 우리의
믿음을 더욱 확고하게 해 줍니다.

그렇지만 이 스패머에 관한 다른 정보는 어디 있나요?

"canus.net" 은 누구입니까? 그쪽도 추적해 보아야 하나요?

"canus.net" 으로 traceroute 명령을 적용해본 결과

| 3 bordercore4-hssi5-0-24.NorthRoyalton.mci.net (166.48.232.97)
169.821 ms 138.943 ms 149.408 ms
| 4 core3.Atlanta.mci.net (204.70.4.9) 279.872 ms 358.830 ms 369.607
ms
| 5 ast-uunet-nap.Atlanta.mci.net (206.157.77.114) 159.785 ms
138.895 ms 159.844 ms
| 6 104.ATM2-0-0.XR1.ATL1.ALTER.NET (146.188.232.50) 139.872 ms
158.687 ms 139.946 ms
| 7 195.ATM5-0-0.GW1.MIA1.ALTER.NET (146.188.232.137) 179.745 ms
188.757 ms 199.900 ms
| 8 bs-miami-gw.customer.alter.net (157.130.65.222) 199.871 ms
208.626 ms 199.989 ms
| 9 207.203.0.160 (207.203.0.160) 199.758 ms 188.954 ms 209.890 ms
| 10 172.25.80.90 (172.25.80.90) 199.859 ms 199.436 ms 199.321 ms
| 11 205.152.190.251 (205.152.190.251) 189.876 ms 218.826 ms 229.904
ms

여기 마지막 부분에 적혀있는 호스트는 IP 어드레스로부터 도메인 네임으
로의 변환이 불가능한 호스들이며 마지막 라인은 canus.net 의 IP 어드레
스입니다. whois canus.net 을 실행해본 결과는 다음과 같습니다.

| Registrant:
| CanUS Net (CANUS2-DOM)
| 1 First ST West
| Gander, NFL D3K J7P
| CA

여기 적힌 바에 따르면 이 회사는 캐나다에 위치하고 있군요. 사업은 미국
에서 하고 있으면서 왜 이렇게 멀리 떨어진 곳에 위치하고 있을까요?

|
| Domain Name: CANUS.NET
|
| Administrative Contact:
| Franklin, Bob (BF3584) dehal@USA.NET
| 360-695-3850
| Technical Contact, Zone Contact:
| Franklin, Bob (BF3585) dontcomplaintome@USA.NET

전자우편 주소가 나와 있으니 좋은 단서가 될수 있습니다.

| 360-695-3850
| Billing Contact:
| Franklin, Bob (BF3584) dehal@USA.NET
| 360-695-3850

여기 전자우편 주소가 USA.NET이라는 사실에 주목해야 합니다. 그들은 자
신들이 등록한 도메인의 전자우편 주소를 이용하지 않고 있으며 고정된 이
메일 주소를 이용하지 않습니다. 여기 적혀있는 전화번호 또한 허위일 가
능성이 매우 높죠. 여기 적혀있는 사람(Bob Franklin)이 스패머입니다.

이 사람은 모든 연락을 거부합니다. 전화도, 메일도, 다른 어떤 방법으로
도 연락이 되지 않습니다. 스팸 메일을 뿌리는 사람들의 전형적인 특징이
죠.

스팸메일을 뿌리고자 하는 나라가 아닌 다른 나라에 위치한다. 컴퓨서브
나 아메리카 온라인(AOL), 스프린트넷 등의 대형 ISP 계정을 이용한다.

|
| Record last updated on 19-Jun-98.

스팸메일을 위한 도메인이 매우 최근에 개설되었습니다. 겨우 일주일 전이
군요. 아마도 이 도메인은 곧 없어져도 괜찮다고 이 스패머는 생각할 것입
니다. 이것은 커다란 스팸메일을 뿌리는 사람들의 전형적인 습성입니다.

| Record created on 19-Jun-98.
| Database last updated on 26-Jun-98 04:01:02 EDT.
|
| Domain servers in listed order:
|
| NS1.NAMESERVER1.NET 205.152.190.208
| NS2.NAMESERVER1.NET 205.152.190.209

누군가가 이 스패머에게 DNS 서비스를 제공하고 있습니다. 만약 이 서비스
를 제공하는 곳이 믿을만한 곳이라면 그쪽으로 스팸메일을 보내고 있는 도
메인에게 서비스를 제공하고 있다고 알려 주어야 합니다.

|
| The InterNIC Registration Services database contains ONLY
| non-military and non-US Government Domains and contacts.
| Other associated whois servers:
| American Registry for Internet Numbers - whois.arin.net
| European IP Address Allocations - whois.ripe.net
| Asia Pacific IP Address Allocations - whois.apnic.net
| US Military - whois.nic.mil
| US Government - whois.nic.gov

이제 누가 이 스패머에게 DNS 서비스를 제공하고 있는지 알아보기 위해
whois 서비스를 이용합니다.

whois 205.152.190.

결과는 다음과 같습니다.

| [No name] (MORR-HST) MORRISON.PHICOM.NET 205.152.190.130
| [No name] (DRAKE4-HST) DRAKE.PHICOM.NET 205.152.190.131
| [No name] (NS19481-HST) NS.DCSOUTHFLORIDA.COM 205.152.190.2
| [No name] (NS41802-HST) NS1.NAMESERVER1.NET 205.152.190.208
| [No name] (NS42268-HST) NS2.NAMESERVER1.NET 205.152.190.209
|
| To single out one record, look it up with "!xxx", where xxx is the
| handle, shown in parenthesis following the name, which comes
first.
|
| The InterNIC Registration Services database contains ONLY
| non-military and non-US Government Domains and contacts.
| Other associated whois servers:
| American Registry for Internet Numbers - whois.arin.net
| European IP Address Allocations - whois.ripe.net
| Asia Pacific IP Address Allocations - whois.apnic.net
| US Military - whois.nic.mil
| US Government - whois.nic.gov
|

"Phicom.net" 에서 이 스패머에게 DNS 서비스를 제공해 주고 있는것 같습
니다. 여기는 또 어떤 곳인지 알아보기 위해 whois 서비스를 또 이용합니
다.

whois phicom.net

| Registrant:
| Phicom, Inc (PHICOM-DOM)
| 1370 W. Flagler St Suite C
| Miami, Florida 33135

주소에 적힌 대로 플로리다주 마이애미에 위치한 임대 사무실에 있군요.
아마도 스패머는 이곳에 살고 있을 가능성이 매우 높습니다.

|
| Domain Name: PHICOM.NET
|
| Administrative Contact, Technical Contact, Zone Contact:
| Dominguez, Alvio (AD1820) Alvio124@PHICOM.NET
| 305-642-2638 (FAX) 305-541-0608
| Billing Contact:
| Baptista, Daniel (DB5797) Daniel34@PHICOM.NET
| 305-642-2638 (FAX) 305-541-0608
|
| Record last updated on 30-Apr-97.
| Record created on 02-Apr-97.
| Database last updated on 26-Jun-98 04:01:02 EDT.

이곳은 등록한지 일년이 넘었군요. 여기서는 스팸메일을 한번 뿌리고 치
고 빠지기 식의 그런 행동은 하지 않을 것입니다.

|
| Domain servers in listed order:
|
| MORRISON.PHICOM.NET 205.152.190.130
| DRAKE.PHICOM.NET 205.152.190.131
|
|
| The InterNIC Registration Services database contains ONLY
| non-military and non-US Government Domains and contacts.
| Other associated whois servers:
| American Registry for Internet Numbers - whois.arin.net
| European IP Address Allocations - whois.ripe.net
| Asia Pacific IP Address Allocations - whois.apnic.net
| US Military - whois.nic.mil
| US Government - whois.nic.gov

이제 www.phicom.net 으로 lynx 웹브라우저를 이용해서 한번 접속해 보겠
습니다. 홈페이지가 있을것 같은데 다음과 같은 내용의 홈페이지를 가지
고 있군요.

|
| [INLINE] 1380 W. Flagler St. Miami, FL 33135 1(888) 642-2NET (305)
| 642-2638

NIC 에 등록된 정보와 일치합니다.

|
| You are the [INLINE] visitor to our site.
|
| * World Wide Internet/Access * U.S. Robotics X 2 technology *
Local /
| Wide / Global Area Networks * Hardware / Software Sales * Web Site
| Hosting & Construction * Service Repair Center * IBM Business
Partner
| * Hewlett Packard Warranty Service Center
|
|
|

여기는 합법적인 ISP 인것 같습니다. 하드웨어 관련 사업도 함께 하고 있
군요. IBM이나 HP같은 대형 회사의 계열 회사라면 이곳이 스팸메일을 위
한 도메인으로 활용되진 않을 가능성이 크죠. 따라서 이쪽에다 스패머에
게 DNS 서비스를 제공하고 있는 것에 대해 알려 주어야 합니다.

스팸메일에 적혀있는 웹페이지는 어디일까요? 거기도 한번 방문해 봅시
다. http://www.canus.net/amcap/129.html 이었죠. 거기로
가보겠습니다.

| [INLINE]
| Mortgage Services
|
|
|
| Are you in debt?
|
| If you are then we can help. Qualifying is now at your fingertips
and
| there are no long distance calls to make or travel plans to
arrange.
|
| As you may have seen in our ad you can be loaned up to 125% of the
| value of your home or $100,000.00 even if you have NO equity in
your
| home. There are no up-front or advanced fees of any kind. You can
be
| approved within 24 hours and have your cash in one weeks time.
|
| In order for us to provide you with a FREE loan evaluation we must
ask
| for the following so that a representative can contact you via the
| telephone within 24-48 hours.
| * indicates required fields
| *Name ____________________
| *Address ____________________
| ____________________
| *City ____________________ *State ___ *Zip __________
| *Home Phone ____________________
| Work Phone ____________________
| *Email Address ____________________
| Best Time to Call ____________________
| Type of Home [None Selected......]
| Estimated Value of Home ____________________
| Current Debt Against
| Home(Loan Balance): ____________________
| Type of Loan Requested [None Selected.....]
| Amt. of Loan Requested ____________________
| Total Household Income ____________________
| Credit Rating [None Selected]
|
| To send this information to American Capital, press the Submit
button;
| To clear this form and start again, press the Reset button.

그들은 여러분의 신상에 관한 자세한 정보를 요구하면서도 자신들에 대해
서는 별로 밝히지 않고 있습니다. 조심해야 합니다.

|
| SubmitReset
|
| About our company:
|
| We are a FREE national referral service for homeowners seeking to
| consolidate their bills. We have a network of affiliated companies
| that are regarded as the best and most respected mortgage banking
| companies in the country. You can rest assured that you are in
good
| hands and will receive extraordinary service with our affiliated
| companies, for we only allow in our association and work with the
| absolute best companies in the nation.
|
| You may reach us at:
|
| American Capital Mortgage Services
| 1-212-796-6549
|
|
| We do not promote SPAM or UBE.
| Please be assured that we are doing everything we can
| to ensure that our users do not abuse this policy.
|

이쪽으로 어떻게 접속할 수 있는지 알아보기 위해 traceroute 을 사용해
보겠습니다.

[djv@castor djv]$ traceroute www.canus.net
traceroute to www.canus.net (205.152.190.251), 30 hops max, 40 byte
packets

4 core3.Atlanta.mci.net (204.70.4.9) 209.895 ms 158.635 ms 199.880
ms
5 ast-uunet-nap.Atlanta.mci.net (206.157.77.114) 199.820 ms 148.672
ms 139.873 ms
6 104.ATM2-0-0.XR1.ATL1.ALTER.NET (146.188.232.50) 189.844 ms
168.612 ms 149.935 ms
7 195.ATM5-0-0.GW1.MIA1.ALTER.NET (146.188.232.137) 209.791 ms
198.624 ms 199.881 ms
8 bs-miami-gw.customer.alter.net (157.130.65.222) 199.831 ms 198.651
ms 199.884 ms
9 207.203.0.160 (207.203.0.160) 209.834 ms 160.053 ms 199.343 ms
10 172.25.80.90 (172.25.80.90) 209.514 ms 209.896 ms 179.381 ms
11 205.152.190.251 (205.152.190.251) 209.781 ms 168.693 ms 199.847
ms

[djv@castor djv]$

205.152.190.251 는 phicom.net 아래에 있다는 것을 알게 되었습니다. 그
러므로 phicom.net 은 DNS 서비스뿐만 아니라 실제 인터넷 접속까지 함께
제공하고 있는 셈이죠.

이제 거의 다 잡은 셈입니다.

우리는 이 스패머가 사용하고 있는 usa.net 과 컴퓨서브로 스패머가 있다
는 사실을 알려줄 수 있고 스패머가 실제로 사용하고 있는 phicom.net 에
도 같은 사실을 알려주는 등의 행동을 취할 수 있습니다.

usa.net 이나 컴퓨서브 에서는 스패머의 계정을 취소할 수 있습니다만
phicom.net 에서는 자신들이 스패머에게 이용당하고 있다는 사실조차 모르
고 있을 가능성도 있습니다. 스패머들에 대해서 무지한 ISP 도 많이 있기
때문입니다.

스패머에게 스팸메일을 뿌리지 말라고 경고하는 것은 별 의미가 없고, 이
쪽에서 할 수 있는 수동적인 조치는 phicom.net 으로부터 송신되는 모든
메일을 거부하도록 설정해 주는 것입니다. 그래서 나중에 phicom.net 으로
부터 스패머의 웹사이트가 삭제되었다는 확실한 통지를 받은 후에 다시 메
일을 원래대로 받을 수 있도록 설정하는 것 정도가 이쪽에서 할 수 있는
일의 전부입니다.

제가 메일을 2개 썼거든요
라이코스랑 께비
스팸땜에 짜증나서 둘 다 해지했어요 ㅋㅋ

-_-a

[제목]을 다르게 해석하면 이렇게 됩니다.
스팸메일(러의)주소록을 팝니다.
당하고만 있을 수는 없죠.
지금까지 수신거부목록에 모아두었던 메일주소를
파는겁니다.[농담(이 진담이 될 수도 있다는 속담도 있는듯 한데..)]

이메일주소는 상대로 하여금 자신을 신뢰할 수 있게 하는 수단인데, 이를 악용하는 인간들은 인간이 아니라 짐승보다도 못한 넘들이지요.

첫문단에 있는 것처럼 행동하면 우리도 짐승보다 못한 넘들이 될 수 있으니 그렇게 하지 말아야 되겠습니다.