Tag Archives: Endpoint Encryption

‘Xin Nian Kuai Le’: Spammers Say Happy New Year

China is gearing up to usher in the Year of the Horse, which begins with the new moon on January 31 this year. With more than a billion people worldwide preparing to celebrate the new year for the lunar calendar, the celebration this year promises more color than ever before.
 
Chinese New Year, also known as the spring festival, is a day for reunion and thanksgiving, where exchanging gifts is at the heart of the celebration. Friends, family, colleagues and even businesses exchange gifts to show love, respect and loyalty. Business owners often send gifts to their customers and shops offer gifts and discounts to show their gratitude. However, spammers are all too aware of this practice.
 
The spammers and fraudsters are known to capitalize on special occasions and exploit the noble gesture of giving gifts in order to send out spam. They are known to pose as friends and business owners and send emails promising gifts and financial offers to attract unsuspecting victims. 
 
We’ve observed spam that exploits Chinese New Year by pretending to be from a reputed company. The spam message appeals to the recipient’s benevolence, asking them to give the company’s products as gifts to loved ones.
 
Sample
translated.png
Figure 1. The subject of the spam message
 
Translation
Subject: [COMPANY NAME] wish users, a happy new year.
 
 
email_0.png
Figure 2. Preview of the Chinese spam email related to the Year of the Horse
 
Translation
Greeting all customers,
 
As the year of the golden snake is coming to an end, year of lucky horse right at our door steps! It’s the beginning of a new year, everything is a new start! As we are about to approach the new year, [PRODUCT NAME] would like to send our greeting to you and your family with utmost respect and well wishes! We wish you a happy and healthy new year!
 
Thanks for your continuous support to the company. We wish you a great Year of the Horse. Happy New Year!
 
[COMPANY NAME]
2014 January
 
The spam sample in discussion has the subject line greeting the customers on behalf of the company. The body contains an image preview which looks cheerful to spread the holiday feeling. The message tries to make the name of the company linger in the minds of the readers so that they may consider its products while gift shopping.
 
In previous years, Symantec had observed a variety of Chinese New Year spam. The most prominent among them promoted fake gift offers and discounts. Scams formed another significant spam category, which included loan offers and job offers, making people think they can pay off any debt they may have and get a good start in the new year. All these spam emails were devised to exploit the strong traditions and values of the Chinese community worldwide.
 
The Chinese New Year festivities commence on January 31 and will continue for 15 days until the full moon, when Lantern Festival is celebrated. We can expect more spam of a similar nature during this  time.
 
The New Year festival is a good opportunity for the spammers to target users. The best practice to avoid falling into the spammers’ traps is to be wary of opening unsolicited new year themed emails.
 
We wish you all the very best in the Year of the Horse!

??????? .zip ?????

      No Comments on ??????? .zip ?????
スパマーは、長らく途絶えていた古い手法を再び使い始めています。.zip ファイルを添付し、ユーザーを欺いて圧縮形式のマルウェアを実行させるという手口です。以下のグラフは、.zip ファイルが添付されたスパムメッセージが、シマンテックの Global Intelligence Network(GIN)で過去 90 日間にわたって検出された件数を示しています。
 
figure1_6.png
図 1. .zip が添付されたスパムメッセージの過去 90 日間にわたる検出件数
 
1 月 7 日を見ると、シマンテックの GIN に届いた .zip 添付スパムのうち 99.81% が、「BankDocs-」の後に 10 桁の 16 進数が続く形式のファイル名でした。
 
figure2_7.png
図 2. 「BankDocs-」で始まるファイル名の .zip が添付された電子メール
 
翌 1 月 8 日になると、99.34% が、「Invoice-E_」の後に 10 桁の 16 進数が続くファイル名になりました。
 
figure3_3.png
図 3. 「Invoice-E_」で始まるファイル名の .zip ファイルが添付された電子メール
 
さらに翌 1 月 9 日には、98.94% が、「Early2013TaxReturnReport_」の後に 10 桁の 16 進数が続くファイル名になります。
 
figure4_2.png          
図 4. 「Early2013TaxReturnReport_」で始まるファイル名の .zip ファイルが添付された電子メール
 
そして 1 月 10 日には、98.84% が「[ブランド名は編集済み]_December_2013_」の後に 10 桁の 16 進数が続くファイル名でした。
 
figure5_0.png
図 5. 「[ブランド名は編集済み]_December_2013_」で始まるファイル名の .zip ファイルが添付された電子メール
 
これらの例は、ファイル名と MD5こそ異なっていますが、すべて同じマルウェアが仕掛けられており、シマンテックはこれを Trojan.Zbot として検出します。Trojan.Zbot は、侵入先のコンピュータから機密情報を盗み出すことを主な目的としたトロイの木馬です。
 
1 月 10 日以降、スパム量は通常レベルに戻っているので、大規模な攻撃は今のところ沈静化しているようですが、スパマーがまた大きな攻撃活動を仕掛けるのは時間の問題でしょう。ウイルス対策ソフトウェアは常に最新の状態に保ち、不明な送信者から届いた添付ファイルは開かないようにしてください。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????????

      No Comments on ???????????????????????

詐欺師がインターネットユーザーの気の緩みを狙うのは、特に驚くことでもありません。

シマンテックは、ホリデーシーズン後の数日間にわたって、新たにマルウェアが増加していることを確認しました。休暇が終わると、重要なメッセージを見逃していないかどうかを確かめるために、多くのユーザーがツールや電子メールを確認します。スパマーはそこを狙って、ユーザーが電子メール中の悪質なリンクをクリックすることに期待を掛けているのです。

今回の一連の攻撃では、スパマーはユーザーが緊急性の高い電子メールを開いて返信しようとするところを狙っています。実際にそうすると、マルウェアがユーザーのコンピュータに感染し、機密データが盗み出されてしまいます。

私自身も先週、有名なオンラインストアから送信されたように偽装した配達不能通知を受け取りました。休暇で留守にしていた間に、いくつか荷物を届けることができなかったという内容です。

最初は、何も注文していないのになぜこのような通知が届いたのかいぶかり、ひょっとしたら思いがけないプレゼントなのかもしれないと考えました。しかし、電子メール中のリンクをクリックする前にステータスバーを確認したところ、そのリンクは詐称されたもので、さらに電子メールで使われている言葉遣いや文法上の誤り(図 1 を参照)を見て、疑惑は確信に変わりました。

figure1_10.png

図 1. 文法上の誤りと悪質なリンクが含まれたスパムメール

同様に、スパマーが別の有名ブランドに偽装し、請求書に見せかけて悪質なリンクを埋め込んでいる電子メールも受け取りました。幸い、正規のブランドで使われているテンプレートとは違いがあり、偽装した電子メールのヘッダーはまったく無関係のものでした。さらに調べてみると、埋め込まれているリンクにはマルウェアが仕掛けられていました。図 2 に示すように、スパムには乗っ取られた URL が使われています。
 
figure2_9.png
図 2. 配達不能通知に見せかけた別のスパムメール

さらには、見ず知らずの人の葬儀に招待する電子メールも受け取ったことがあります。私はまず、その家族を知っていたか、または大学時代の友人だった、あるいは近所に住んでいたかどうか確認し始めましたが、そのうち電子メール中のリンクが悪質なものであることに気が付きました。

figure3_5.png
図 3. 葬儀を案内するスパムメール

こうしたスパムメールに対して、ユーザーは 2 つの方向からアプローチする必要があります。警戒しながら電子メールをふるいに掛けることと、詐欺師の間違いを見抜けるようになることです。

こういったスパムメールでは、文法上の誤りや、文構造の不備が多く、ある小売業者に偽装しておきながら電子メールヘッダーはその競合他社になっているといった偽装戦術の失敗も見受けられます。乗っ取られたドメインと URL を順々に使い回す手口も使われますが、それが偽装したブランドや企業と無関係という場合もあります。

ホリデーシーズン後の憂鬱な気分を乗り越える一方で、電子メールを扱う際には警戒を怠らず、休暇ぼけを詐欺師に悪用されないように注意してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

.Zip Attachment Spam Makes a Grand Return

      No Comments on .Zip Attachment Spam Makes a Grand Return
After a long hiatus, spammers are once again using an old trick, where they attach a .zip file to trick the user into executing the compressed malware. The chart below shows the number of spam messages with .zip attachments over the last 90 days in Symantec’s Global Intelligence Network (GIN).
 
figure1_6.png
Figure 1. Spam messages with .zip attachments over the last 90 days
 
On January 7, 99.81 percent of the .zip attachment spam that came into Symantec’s GIN had the file name “BankDocs-”  followed by 10 hexadecimal characters.
 
figure2_7.png
Figure 2. Email with “BankDocs-” .zip attachment
 
On January 8, 99.34 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “Invoice-E_” followed by 10 hexadecimal characters.
 
figure3_3.png
Figure 3. Email with “Invoice-E_” .zip attachment
 
On January 9, 98.94 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “Early2013TaxReturnReport_” followed by 10 hexadecimal characters.
 
figure4_2.png          
Figure 4. Email with “Early2013TaxReturnReport_” .zip attachment
 
On January 10, 98.84 percent of the .zip attachment spam seen in Symantec’s GIN had a file name “[BRAND NAME REDACTED]_December_2013_” followed by 10 hexadecimal characters.
 
figure5_0.png
Figure 5. Email with “[BRAND NAME REDACTED]_December_2013_” .zip attachment
 
While these examples have different file names and MD5s, they all carry the same malware, identified by Symantec as Trojan.Zbot. This Trojan has primarily been designed to steal confidential information from the compromised computer. 
 
It appears that the large attack has subsided for now, as the spam volume returned to normal levels after January 10, but it is just a matter of time before spammers organize another large campaign. Users should keep their antivirus software up-to-date and should not open attachments from unknown sources.

Scammers Exploit Vacation Hangover with Malware Attacks

It is not surprising to see scammers exploiting the laxity of Internet users.

Symantec has observed another malware wave over the past few days following the holiday season, as many users check their utility and official emails post-vacation to see if they missed out important ones. This is where spammers take their chances that users will click on malicious links in their emails.

In this wave of attacks, spammers are taking advantage of users’ urgency to open a link and respond to the email instantaneously. When this happens, the malware infects users’ computers and extracts confidential data.

Last week, I too, received some delivery failure notification emails that claim to be from well-known stores with an online presence, stating that I missed out a couple of parcels while I was away on vacation.

At first, I wondered how it happened since I did not place any orders, and the thought that they might be surprise gifts also crossed my mind.

However, just before clicking the link, I checked the status bar only to find that the link had been spoofed. This raised my level of suspicion, which was further confirmed by the language and grammatical errors used in the email, as shown in the following figure:

figure1_10.png

Figure 1: A spam email with grammatical errors and a malicious link

Similarly, there was an email in which the spammer masquerades another well-known brand, making the message appear to be a statement, while embedding a malicious link.

Fortunately, there was a goof-up between the template used by the brand and the email headers which belonged to another email, with no association between both. Upon further inspection, it was found that the embedded link contained a malware.

The spam run also used a hijacked URL as shown in the following figure:
 
figure2_9.png
Figure 2. Another spam email on delivery failure

I bumped into another email which invited me to attend the funeral of someone I did not know. I began to check if I knew the family by any chance, or if it was a college friend, or a neighbor, but then discovered that the link in the email was malicious.

figure3_5.png
Figure 3: A spam email on a funeral notice

Such spam emails require users to adopt a two pronged approach–to be on guard while sieving through emails, and be able to see through the mistakes made by scammers.

Some of which could be a coercion to click on a link immediately, but they are full of grammatical errors, faulty sentence structures, tactical errors of spoofing one retail operator and associating the email headers with a competitor. Another tactic employed in such spams is the use of hijacked domains and URLs which are rotated and recycled over time, but have no association with the brands or entity.

While you are overcoming your post-holiday blues, Symantec recommends that you exercise diligence when dealing with your emails, and not let scammers exploit your vacation hangover.

?????????????? 2013 ???????

      No Comments on ?????????????? 2013 ???????

「そこにカネがあるからさ」という有名な台詞は、銀行強盗ウィリー・サットン(Willie Sutton)が「なぜ銀行を襲うのか」と問われて答えたものだと言われています。真偽のほどは別としても、この台詞は今でも有効です。

同じ状況が、金融機関を狙う今日のマルウェアにも当てはまります。お金の移動する場所がオンラインバンキングのアプリケーションに変わったので、攻撃者もそれに引き付けられています。オンラインバンキングのサービスを標的にするトロイの木馬が開発され続けているのは、驚くほどのことではありません。最近のブログでお伝えした例は Neverquest というトロイの木馬ですが、これは 2006 年に初めて確認されて以来使われ続けている Trojan.Snifula の後継種でした。

金融機関を狙う最も一般的なトロイの木馬による感染の件数は、2013 年の 1 月から 9 月までの間に 337% という増加を示しています。1 カ月あたり 50 万台近くのコンピュータが感染して詐欺行為を受けやすくなっているという計算になります。金融機関を狙うトロイの木馬の背景にある仕組みと、その運用の規模を詳しく理解するために、シマンテックはオンラインバンキングを狙うトロイの木馬 8 種類に属している 1,000 以上の設定ファイルを解析しました。これらの設定ファイルには、トロイの木馬が攻撃する URL と、そのとき利用する攻撃方法が定義されています。攻撃方法は、単なるユーザーのリダイレクトから、バックグラウンドでトランザクションを自動実行できる複雑な Web インジェクションまでさまざまです。解析した設定ファイルは、合計で 1,486 の金融機関を標的にしていました。このことからも、トロイの木馬が広く拡散しており、攻撃者にとって金銭的な儲けを生むのであればあらゆるものが標的になっていることが明白です。

最も頻繁に攻撃されているのは米国内の銀行で、調査したトロイの木馬の設定ファイルのうち 71.5% に出現していました。標的となった上位 15 の銀行はすべて、設定ファイルのうち 50% 以上で見つかっており、2 つに 1 つのトロイの木馬が上位の銀行の少なくとも 1 行を狙っていることになります。このように高い数値が表れているのは、トロイの木馬とともに売られている基本ツールキットの一部に、標的となる URL がサンプルとして存在するためかもしれません。あるいは、トロイの木馬が依然としてこうした企業に対して有効だからという理由も考えられます。金融機関の一部はいまだに強力な認証を採用していないからです。もちろん、大部分の金融機関はこうしたサイバー犯罪の推移を意識しています。また、このような攻撃を遮断する新しい保護対策も講じているのですが、残念なことに、新しいセキュリティ対策を始動するには時間も費用も掛かり、攻撃者は常に新しい攻撃の経路を生み出しています。結局のところ、ソーシャルエンジニアリング攻撃は依然として機能し続けることになります。巧妙な作り話に引っ掛かってしまう人というのは、後を絶たないからです。オンラインバンキングのサービスを狙う攻撃は、来年も続くものとシマンテックは予測しています。

金融機関を狙うトロイの木馬の状況について詳しく知りたい方のために、このトピックを扱ったホワイトペーパーの最新版を公開しました(英語)。

金融機関を狙う脅威の 2013 年における概況については、以下の解説画像も参考にしてください。

the_state_of_financial_trojans_infographic_v1.1_0.jpg
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The State of Financial Trojans in 2013

      No Comments on The State of Financial Trojans in 2013
“Because that’s where the money is!” This is a quote frequently attributed to Willie Sutton as the answer he allegedly gave when asked why he robbed banks. Even though Mr. Sutton never gave this answer, it still holds true. 
 
This paradigm also holds true when it comes to today’s financial malware. Online banking applications are where money is moved; hence they are also the focus of attackers. It should not come as a surprise that we still see further development of Trojans targeting online banking services. One example that we recently blogged about is the Neverquest Trojan, a successor of Trojan.Snifula, which was first seen in 2006 but is still in use. 
 
The number of infections of the most common financial Trojans grew to 337 percent in the first nine month of 2013. This represents nearly half a million infected computers per month that are susceptible to fraud. To get a better understanding of the mechanics behind financial Trojans and the scale of their operations, we analyzed over one thousand recent configuration files belonging to eight online banking Trojans. These configuration files define which URLs the Trojan should attack and what attack strategy to use. Attacks vary from simple user redirection to complex Web-injects, which can automatically conduct transactions in the background. The analyzed configuration files targeted 1,486 organizations in total. This highlights the wide distribution of the Trojans, which target everything that could yield a monetary profit for the attacker.  
 
The most frequently attacked bank is located in the US and was present in 71.5 percent of all the examined Trojans’ configuration files. All of the top 15 targeted banks were found in more than 50 percent of the configuration files. This means that every second Trojan targets at least one of these banks. These high numbers might be because the targeted URLs are present as examples in some of the basic toolkits, which are sold with the Trojans. Another reason could be that the Trojans simply still work against these firms, as not all financial institutions have moved to strong authentication yet. Of course, most financial institutions are aware of these cybercrime developments and are deploying new protection mechanisms to block such attacks. Unfortunately, new security measures take time and money to roll out and the attackers will always come up with new attack avenues. After all, social engineering attacks still work, since some people will always fall for a cleverly crafted story. We expect that we will continue to see attacks targeting online banking services in the coming year.
 
If you want to learn more about the state of financial Trojans, we released an updated whitepaper on this topic.
 
We also have the following infographic on 2013’s financial threat landscape.
 
the_state_of_financial_trojans_infographic_v1.1_0.jpg

The State of Financial Trojans in 2013

      No Comments on The State of Financial Trojans in 2013
“Because that’s where the money is!” This is a quote frequently attributed to Willie Sutton as the answer he allegedly gave when asked why he robbed banks. Even though Mr. Sutton never gave this answer, it still holds true. 
 
This paradigm also holds true when it comes to today’s financial malware. Online banking applications are where money is moved; hence they are also the focus of attackers. It should not come as a surprise that we still see further development of Trojans targeting online banking services. One example that we recently blogged about is the Neverquest Trojan, a successor of Trojan.Snifula, which was first seen in 2006 but is still in use. 
 
The number of infections of the most common financial Trojans grew to 337 percent in the first nine month of 2013. This represents nearly half a million infected computers per month that are susceptible to fraud. To get a better understanding of the mechanics behind financial Trojans and the scale of their operations, we analyzed over one thousand recent configuration files belonging to eight online banking Trojans. These configuration files define which URLs the Trojan should attack and what attack strategy to use. Attacks vary from simple user redirection to complex Web-injects, which can automatically conduct transactions in the background. The analyzed configuration files targeted 1,486 organizations in total. This highlights the wide distribution of the Trojans, which target everything that could yield a monetary profit for the attacker.  
 
The most frequently attacked bank is located in the US and was present in 71.5 percent of all the examined Trojans’ configuration files. All of the top 15 targeted banks were found in more than 50 percent of the configuration files. This means that every second Trojan targets at least one of these banks. These high numbers might be because the targeted URLs are present as examples in some of the basic toolkits, which are sold with the Trojans. Another reason could be that the Trojans simply still work against these firms, as not all financial institutions have moved to strong authentication yet. Of course, most financial institutions are aware of these cybercrime developments and are deploying new protection mechanisms to block such attacks. Unfortunately, new security measures take time and money to roll out and the attackers will always come up with new attack avenues. After all, social engineering attacks still work, since some people will always fall for a cleverly crafted story. We expect that we will continue to see attacks targeting online banking services in the coming year.
 
If you want to learn more about the state of financial Trojans, we released an updated whitepaper on this topic.
 
We also have the following infographic on 2013’s financial threat landscape.
 
the_state_of_financial_trojans_infographic_v1.1_0.jpg

????????????????????????????????

      No Comments on ????????????????????????????????

寄稿: Binny Kuriakose

「Hello world(ハローワールド)」、当社はデジタル対応です。そんな謳い文句はもう過去の話になりました。今では、スピードに対する要求から超特急の対応が迫られています。なにしろ、ボタンをひとつクリックするだけで、望みの Web ページを瞬時に用意できる時代です。実際、インターネットがもたらすコスト効果の高いビジネスと世界的な事業展開を狙って、企業は次々と Web に移行しています。そうした傾向に舌なめずりしているのがスパマーです。スパマーにとって、何も知らない無防備な獲物だらけになるクリスマスほど最高の狩猟シーズンはほかにはありません。

スパマーは、クリスマスシーズンに展開されるビジネスを体系的に吟味してさまざまなカテゴリを利用しています。年の瀬に迎えるクリスマスシーズンの祝い方を 7 月初めという早い時期から計画する人向けの宿泊施設関連のスパムから、帰宅前に大慌てでショッピングに走る駆け込み組向けのスパムまで、実に用意周到です。

  • クリスマス休暇を計画中の人々を狙った宿泊施設関連スパムには、次のような例があります。

差出人: Christmas Luxury <[name]@[domain].com>(特別なクリスマス <[名前]@[ドメイン].com>)
件名: A journey of Christmas luxuries(クリスマスに豪華なご旅行を)

figure1_5.png

図 1. 宿泊施設関連スパムのプレビュー

  • 手持ち資金に不足している人々を狙ったスパムの例には、ナイジェリア詐欺タイプの宝くじ広告があります。電子メールのヘッダーは以下のとおりです。

件名: XMAS PROMOTION!!(クリスマス特集!!)
差出人: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>(”[ブランド名] JACKPOT COMPANY INC.” <[名前]@[ドメイン].com>)

figure2_3.png
 

図 2. 「ナイジェリア詐欺」タイプのスパムのプレビュー

  • 何か心に残るギフトを贈りたいと考えている人々を狙ったスパムには、おもちゃやチョコレート、装飾品の偽広告の例があります。電子メールのヘッダーは以下のとおりです。

差出人: “[Brand name] giving an oil painting” <[name]@[domain].com>(”[ブランド名] から油絵を贈ります” <[名前]@[ドメイン].com>)
差出人: Christmas Luxury <mail@[domain].com>(特別なクリスマス <mail@[ドメイン].com>)
差出人: Chocolates Inquiry <mail@[domain].com>(チョコレートをお探しなら <mail@[ドメイン].com>)
差出人: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>(”ホリデーシーズンの装飾品” <Holiday.Ornaments@[ドメイン].com>)
件名: Exclusively Designed Christmas Ornaments(特別デザインのクリスマス装飾品)
件名: Delicious Christmas Chocolates !(おいしいクリスマスチョコレート!)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: A journey of Christmas luxuries(クリスマスの特別旅行)
件名: as a Christmas gift”[Brand name](クリスマスギフトに “[ブランド名] はいかが)

figure3_2_0.png

図 3. 名前入りギフトスパムのプレビュー

  • このクリスマスこそ高級腕時計やデザイナー商品を買いたいと思って早期から備えている人々を狙ったスパムの例には、各種の模造商品の投げ売り広告があります。電子メールのヘッダーは以下のとおりです。

差出人: “Early x-mas shopping” <[name]@[domain].com>(”早めのクリスマスショッピング” <[名前]@[ドメイン].com>)
件名: [Brand name] Smart Phone Clearout. 55% off MSRP([ブランド名] のスマートフォンを在庫一掃。メーカー希望小売価格の 55% オフ)
件名: Thinking about Christmas?(クリスマスのご予定はもうお考えですか)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: Great for Christmas(クリスマスに最適)
差出人: “Join us AT “[Brand name]” <[name]@[domain].com>(”ご一緒に “[ブランド名]” はいかがですか<[名前]@[ドメイン].com>)
件名: Christmas coming soon!! . Are you ready for the hot selling reason.(クリスマスはもうすぐ!! 大ヒット商品のそのワケを知るチャンス)
差出人: “[Brand name] <[name]@[domain].com>(”[ブランド名] <[名前]@[ドメイン].com>)

figure4_3.png

図 4. 模造品スパムのプレビュー

Figure5_0.png

図 5. 各種商品関連スパムのプレビュー

  • クリスマスを美しく迎えたいと思っている人々を狙ったスパムの例には、今すぐ痩せると謳うダイエット関連広告があります。電子メールのヘッダーには、以下のようなおなじみの煽り文句が使われています。

件名: BY Christmas Drop 23lbs(クリスマスまでに 10kg 減量)
件名: Look 23lbs thinner Christmas(10kg スリムになってクリスマスを迎えましょう)
件名: Did you see me on television Thursday?(木曜日のテレビはご覧になりましたか?)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)

Figure6_0.png

図 6. 医薬品関連スパムのプレビュー

  • いつまでも若い人々は、次のようなヘッダーの出会い系スパムに狙われているかもしれません。

差出人: “Date Someone” <[name]@[domain].com>(”デートの相手を探そう” <[名前]@[ドメイン].com>)
差出人: “Senior Dating” <[name]@[domain].com>(”シニア専用出会い系” <[名前]@[ドメイン].com>)
件名: Find a hot Christian this Christmas in your area(今年のクリスマスは、お近くでホットな出会いを)
件名: Find a local love to cuddle with this Christmas(今年のクリスマスは、地元で見つけた恋人を抱きしめよう)

Figure7.png

図 7. 出会い系スパムのプレビュー

  • お子さんにサンタクロースからの名前入り特製手紙が届くと称するアンケートもあります。電子メールのヘッダーは以下のとおりです。

差出人: Santa <Santa@[domain].com>(サンタ <Santa@[ドメイン].com>)
件名: Letters from Santa for your child(サンタからお子様への手紙)

Figure8.png

図 8. 子ども向けの名前入りギフトカードスパムのプレビュー

Figure9_0.png

図 9. クリスマススパムの件数を示した円グラフ

全体的に今年のクリスマススパムはテーマの範囲が広いようです。目的は、魅力的な謳い文句で好奇心をくすぐり、リスクの高い行動に至るユーザーや、安全ではないシステム、中途半端なソリューションを悪用することにあります。スパマーの関心は依然として、あらゆる人々の傾向を十分に理解して悪用し、ユーザーを誘導して重要な情報を引き出したり、怪しい Web ページにアクセスさせたりすることに集中しています。

電子メールの細かい部分に注意を払いながら、以下の点に注意してそれが正規のものかどうかを判断してください。

  • これまでに登録した、または登録を解除した覚えのあるサービスですか。
  • 同様の手口に引っかかってしまった友人から転送された電子メールではありませんか。
  • 電子メールの差出人、送信状況、内容は本物ですか。

ホリデーシーズンに電子メールを経由してオンラインで商品を購入する場合には、十分に警戒することをお勧めします。シマンテックは、マルウェアやスパムを遮断する保護対策を提供していますが、皆さんもウイルス対策のシグネチャを定期的に更新して、最新の脅威から身を守るようにしてください。保護対策を怠らず、けっして無制限に個人情報を公開しないようにしてください。

安全で楽しいクリスマスをお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

From The Early Lark to the Tardy Owl, Spammers Intend Catering To All this Christmas

Contributor: Binny Kuriakose

‘Hello world’ we are digital! Well that was ages ago. Today the need for speed has made us extra fast. A click of a button and the desired webpage is up and running in an instant. In fact, organizations are switching to the Web because of cost effective business and global presence the Internet provides. This phenomenon has made predators smack their lips. What better environment to make a kill than Christmas, with the unaware and the vulnerable abound!

With a systematic study of business done during Christmas, spammers have leveraged a plethora of categories since early July, ranging from hospitality-related spam for those who plan early on how to celebrate Christmas later in the year, to last minute shoppers who scramble to buy gifts before rushing home. Now, that is a well-planned spread.

  • For the vacation planner, there is a hospitality-related spam, with headers reading:

From: Christmas Luxury <[name]@[domain].com>
Subject: A journey of Christmas luxuries

figure1_4.png

Figure 1. A preview of hospitality spam

  • For the one in need of cash, there is the odd Nigerian type lottory promotion. The email header reads:

Subject: XMAS PROMOTION!!
From: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>

figure2_2.png

Figure 2. A preview of a Nigerian-type spam

  • For those intending to gift something memorable, there are blocks, chocolates and ornaments to gift. The emails have the following headers:

From: “[Brand name] giving an oil painting” <[name]@[domain].com>
From: Christmas Luxury <mail@[domain].com>
From: Chocolates Inquiry <mail@[domain].com>
From: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>
Subject: Exclusively Designed Christmas Ornaments
Subject: Delicious Christmas Chocolates !
Subject: ★ Attention Early Birds
Subject: A journey of Christmas luxuries
Subject: as a Christmas gift”[Brand name]

figure3_1.png

figure3_2.png

Figure 3. A preview of personalized gifts spam

  • For the early birds who prefer to buy watches and designer products this Christmas, there are a range of replica products at throw away prices with the following email headers:

From: “Early x-mas shopping” <[name]@[domain].com>
Subject: [Brand name] Smart Phone Clearout. 55% off MSRP
Subject: Thinking about Christmas?
From: “[Brand name]” <[name]@[domain].com>
Subject: ★ Attention Early Birds
Subject: Great for Christmas
From: “Join us AT “[Brand name]” <[name]@[domain].com>
Subject: Christmas coming soon!! . Are you ready for the hot selling reason.
From: “[Brand name] <[name]@[domain].com>

figure4_1.png

Figure 4. A preview of a replica spam

Figure5.png

Figure 5. A preview of product spam

  • For those who intend to get in shape for Christmas, there are weight-loss related spam that claim to get you thinner instantly! The headers have the typical enticements as shown below:

Subject: BY Christmas Drop 23lbs
Subject: Look 23lbs thinner Christmas
Subject: Did you see me on television Thursday?
From: “[Brand name]” <[name]@[domain].com>

Figure6.png

Figure 6. A preview of medicine-related spam

  • For the young at heart, there is dating spam with the following headers:

From: “Date Someone” <[name]@[domain].com>
From: “Senior Dating” <[name]@[domain].com>
Subject: Find a hot Christian this Christmas in your area
Subject: Find a local love to cuddle with this Christmas

Figure7.png

Figure 7. A preview of dating spam

  • For your kids, there are personalized surveys with Santa’s greetings, specially crafted for your needs. The email header reads:

From: Santa <Santa@[domain].com>
Subject: Letters from Santa for your child

Figure8.png

Figure 8. A preview of personalized spam email for kids

Figure9.png

Figure 9. A pie chart depicting Christmas spam volume

Overall, the spam panorama this Christmas looks pervasive. The aim is to harness curiosity laced with fantastic offers that can exploit unhealthy user practices, unsecured systems and half-baked solutions. The focus of spammers continue to be on how to best understand and exploit human tendencies and then to entice users to either compromise sensitive information or visit a dubious webpage.

Symantec advises users to pay attention to details while judging the genuineness of the mail by considering the following:

  • Did you subscribe or unsubscribe to such offers in the past?
  • Is it one of those forwarded mails a friend has been ensnared into?
  • Is the sender, the context and content of the mail authentic?

We encourages users to be alert during this festive season while dealing with online offers through emails. Symantec has protection in place to stop malware and spam and advise users to regularly update antivirus signatures to stay protected from latest threats. Protect yourself and limit the amount of your personal information on the public domain.

Symantec wishes you a safe and merry Christmas.