Tag Archives: email spam

Email with subject “FW:Bank docs” leads to information theft

In this blogpost we will look deep into a spam campaign, where unlike other possible scenarios, the victim is infected by opening and running an email attachment. In the beginning of this year, we blogged about a spam campaign with a different spam message – a fake email from the popular WhatsApp messenger. This time […]

.avi ? .mp3 ???????????????

      No Comments on .avi ? .mp3 ???????????????
ランダムな YouTube リンクを電子メールの本文に記載し、その URL で .avi または .mp3 の拡張子を使って YouTube を悪用する、新しいスパムの手口が確認されています。以前に「YouTube を騙る医薬品スパマー」というブログでお伝えしたように、医薬品業界もこのスパムの標的になっています。
 
今回の新しいスパムでリンクをクリックすると、偽の医薬品販売サイトにリダイレクトされます。シマンテックが調べたスパムサンプルからは、.avi と .mp3 の拡張子を使った以下のような URL が確認されています。
 
http://www.[削除済み].com/Fox.avi
http://www.[削除済み].com/Yamamoto.avi
http://www.[削除済み].vn/Larue.avi 
http://www.[削除済み].com/McAlear.avi
http://www.[削除済み].ru/87342.mp3
http://www.[削除済み].ru/327182.mp3
http://www.[削除済み].fr/472738.mp3
http://www.[削除済み].com/165137.mp3
 
figure1.png
図 1: .avi 拡張子を使ったスパムメール
 
figure2.png
図 2: .mp3 拡張子を使ったスパムメール
 
figure3.png
図 3: 偽の医薬品販売サイト
 
今回のスパム攻撃で使われている件名の例を以下に示します。
  • 件名: Here Comes the Sun 1969(ヒア・カムズ・ザ・サン、1969 年)
  • 件名: Soldier of Love (Lay Down Your Arms) 1963(ソルジャー・オブ・ラヴ(レイ・ダウン・ユア・アームズ)、1963 年)
  • 件名: For No One 1966(フォー・ノー・ワン、1966 年)
  • 件名: Misery 1963(ミズリー、1963 年)
  • 件名: Lucy in the Sky with Diamonds 1967(ルーシー・イン・ザ・スカイ・ウィズ・ダイアモンズ、1967 年)
  • 件名: From Me to You 1963(フロム・ミー・トゥ・ユー、1963 年)
  • 件名: Look! I found this!(ほら、見つけたよ!)
ドメインはヨーロッパで登録されたもので、サーバーの所在地はウクライナでした。スパム攻撃の YouTube リンクでこのような拡張子を使っているのは、フィルタをすり抜けたうえで、拡張子が表す種類のファイルが開くものと期待させてユーザーを欺くためです。
 
迷惑メールや心当たりのない電子メールには注意し、ウイルス対策のシグネチャを定期的に更新して個人情報が漏えいしないように保護することをお勧めします。シマンテックでは、最新の脅威に関する情報をお届けできるよう、スパム攻撃に対して厳重な監視を続けています。
 
 
 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Use of .avi & .mp3 Extension Leads to Pharmacy Spam

Symantec has observed a new spam tactic targeting YouTube using .avi and .mp3 extensions in URLs by placing a random YouTube link in the email content. This spam threat is also targeting the pharmaceutical industry, as we have previously observed in th…

?????????????????

      No Comments on ?????????????????
フィッシング詐欺師がフィッシング用のサイトを本物のサイトとそっくり同じに偽装しようとすることは、よく知られています。JavaScript を使って静的なページに現在の日付を埋め込むなど、これまでにも多種多様な手口が確認されています。シマンテックは最近、汎用的なフィッシングメールが増えていることを発見しました。通常のフィッシングでは標的を想定するのが普通ですが(銀行の顧客、ソーシャルネットワークのユーザーなど)、汎用的なフィッシングメールの手口は少し変わっています。それは、相手を問わず任意の電子メールアドレスを標的にするということです。
 
たいていの場合、この汎用的なフィッシングメールでは、受信ユーザーのメールボックスが容量の上限を超えたとして、電子メールの消失を避けるために至急メールボックスを「再有効化」するよう指示します。先日シマンテックが特定した汎用的なフィッシングメールの Web サイトも、一見すると正規のサイトのようです。素人仕事のような外見(フィッシング詐欺師がデザインスキルに乏しく、プロの手によるサイトを真似られないことの証です)ではあるものの、ある意味では際立っています。背景が魚の絵のパターンになっているからです。
 
phish_site_with_fish_600px.jpg
図. 汎用的なフィッシング Web サイトの背景に描かれた魚のパターン
 
特にこの背景を選んだフィッシング詐欺師の意図はわかりません。たまたま起きた残念なミスかもしれませんし、フィッシング詐欺師の内輪だけで通じるジョークなのかもしれません。あるいは、これが本当はフィッシングサイトであると、意味のわかるユーザーにだけ通じる大胆で露骨なヒントのつもりとも考えられます。それとも、サイトの一部がイタリア語で書かれていることから、この詐欺師は「フィッシング(phish)」と「魚(fish)」が類似していることを知らなかったのでしょうか。
 
フィッシング詐欺から保護するために、アカウントが制限されているなどと理由をつけて更新の必要性を訴えるようなメッセージには注意してください。また、セキュリティソフトウェアは常に最新の状態に保つようにしてください。Symantec.cloudSymantec Messaging Gateway をお使いの方は、こうした脅威から保護されています。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Would You Like Some Fish with That Phishing Site?

      No Comments on Would You Like Some Fish with That Phishing Site?
Phishers are known for making their phishing sites look exactly like the sites they are spoofing. We have seen plenty of examples of the detail they employ, like using JavaScript to include the current date in their static pages. In recent times, Symantec have seen an increase in generic email phishing. Unlike normal phishing, where phishing messages usually have a target in mind (bank customers or social network users, for instance), the generic email phishing technique is slightly different. In generic email phishing, the phishers will target any email address; who the target is does not matter.
 
These generic phishing messages usually claim that the recipient’s mailbox size has been exceeded, and direct them to urgently “re-validate” their mailbox to prevent disruption to their email. Symantec recently identified a generic email phishing website which, at first glance, appeared normal. It looked fairly amateurish—demonstrating phishers’ poor design skills when they don’t have a professional site to rip off—but the site was strikingly unusual for one reason: it had a fish pattern background.
 
phish_site_with_fish_600px.jpg
Figure. Generic phishing website with fish pattern background.
 
We are not sure exactly why phishers decided to use this particular background. Was it a random, unfortunate mistake? An inside joke among fellow phishers? Or perhaps a brazen but not-so-subtle hint to experienced users that it was actually a phishing site? Perhaps—since the site is partially in Italian—the phishers were unaware of the similarity between “phish” and “fish”?
 
To protect yourself from phishing scams, be wary of messages claiming that your account has been restricted or somehow needs to be updated. Keep your security software up to date. Symantec.cloud and Symantec Messaging Gateway customers are protected from these threats.

Phishing scam: University of Texas (San Antonio) email expiration

How’s this for a good phishing scam? Everything seems legit: 1. From email is “customerservice@utsa.edu” 2. No misspelled words and has decent grammar (however, some punctuation inconsistency) 3. Copyright (c) symbol next to the university name 4. Gmail did not filter it as spam, but left it in my normal inbox     Yes, if […]