Tag Archives: scam

寄稿: Avdhoot Patil

インターネットは、至るところにセキュリティ上の脅威が潜む危険な場所でもありますが、脅威が複合するとその危険性はさらに高くなります。最近のフィッシングはサイバー犯罪において重要な役割を担っており、フィッシング詐欺師も最近、他のセキュリティ上の脅威に対して関心を強めています。今年は、たとえばマルウェアやスパムといった脅威とフィッシングとの融合が確認されています。先日、偽アプリでマルウェアが使われていたのも、その一例です。

今月に入ってからも再び、Facebook に偽装したフィッシングサイトでマルウェアが使われました。このフィッシングサイトは、Android と iPhone のユーザーを誘導して偽アプリをインストールさせようとします。サイトのホストサーバーはフランスのパリに置かれ、ページはフランス語で書かれていました。

フィッシングサイトにはエサが付きものですが、毎度お決まりのエサでユーザーが見慣れてしまわないように、フィッシング詐欺師は次々と新たな手口を考え出してきます。今回のエサは、パスワードを入力せずに iPhone や Android から Facebook にログインできると謳う偽アプリの広告です。

図 1. 偽の Facebook アプリを宣伝するフィッシングサイト

広告の売り文句によれば、このアプリは 24 時間だけ無料で試用できます。広告の下にあるボタンは、翻訳すると「続行」という意味で、このボタンをクリックすると手順の書かれたページに移動します。

図 2. 偽アプリを利用するための手順説明

手順は以下のとおりです。

1. ユーザーは、フォームに個人情報を入力する必要があります。
2. iPhone アプリまたは Android アプリを選択し、アプリをダウンロードします。
3. アプリを試用できるのは、初回のインストール時だけです。
4. 試用期間の 24 時間が過ぎると、アプリは自動的にロックされます。
5. 試用期間が過ぎると、支払いオプションを記載した電子メールが届きます。ユーザーは、アプリを使い続けることも、アンインストールすることもできます。

図 3. 個人情報の入力フォーム

この手順を読んで続行ボタンをクリックするとフィッシングページにリダイレクトされ、名前、電子メールアドレス、パスワードの入力を求められます。フィッシングサイトの説明によれば、このアプリをインストールすることで、ユーザーはこのアプリの使用を法的に同意したことになります。

このフィッシングサイトでは、個人情報を求める理由が以下のように説明されています。

1. 24 時間の試用期間が経過してから、アクティブ化コードを受け取るために電子メールアドレスが必要です。
2. iPhone または Android アプリにアクセスする際にはパスワードが必要です。

図 4. モバイルアプリのインストーラに偽装した悪質なダウンロード

フィッシングサイトで次のページに進むと、アプリのダウンロードリンクとして Android と iPhone のロゴが表示されます。これらのリンクをクリックすると、iphone.zip.exe または android.phone.exe というファイルのダウンロードを確認するメッセージが表示されます。実際には、これは Android アプリでも iPhone アプリでもなく、Windows 用のマルウェアです（シマンテックはこれを Backdoor.Breut として検出します）。Android や iPhone のロゴを使っているのは、インストールを誘うためにすぎません。

今回のマルウェアを解析した結果、以下のような事実を確認しました。

1. このマルウェアは Darkcomet RAT と同一である。
2. ネットワーク接続の機能はない。
3. コマンド & コントロール（C&C）サーバーは 127.0.0.1:1604（ローカルループバックアドレス）と設定されている。
4. このマルウェアは外部サーバーには接続しない。

この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

• アカウントにログインするときに、アドレスバーの URL を確かめ、間違いなく目的の Web サイトのアドレスであることを確認する。
• 電子メールメッセージの中の疑わしいリンクはクリックしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップページやポップアップウィンドウに個人情報を入力しない。
• 個人情報や口座情報を入力する際には、鍵マーク（画像やアイコン）、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
• ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
• 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Tacloban, the new ground zero created by Haiyan, is the raison d’être for a large Directory Harvest Attack (DHA) launched by spammers today.

A DHA attack is launched to check the validity of an email directory or emails related to a targeted email server. The aim of this is to collect intelligence and prepare a platform to launch a large spam campaign on that particular site once a database is put in place. Rejected emails return as bounce or Non-Delivery Report/Receipt (NDR) and the rest is concluded as legit, while valid emails will soon be bombarded with a host of spam, phish and malware laden email attacks.

The attack is launched, with the spammer claiming to be from a reputed mass media and communications company on a very large internet site and service provider, for the sole purpose of harvesting and validating email addresses.

The email’s structure is very simple. The headers and body content of the said attack are taken from a news article of a reputed news channel that was published around 14 November 2013. The alias in the form line and the subject line contain randomization at the end to prevent being caught by the spam filter detection.

Subject: Typhoon: After battle to survive, the struggle to live 26488
From: “Typhoon: After battle to survive, the struggle to live 26488″<email address>

Figure 1. A spam email about Typhoon Haiyan from a DHA attack

Symantec advises users to configure directory harvest attack recognition to protect their website environment, and to update their spam filter algorithms to repel such attacks.

Contributor: Avdhoot Patil
The internet can be a dangerous place with security threats lurking from every direction, and it gets worse when threats meld together. Phishing today is a major part of cybercrime and phishers have recently gained interest i…

寄稿: Vijay Thawre

記録史上最大の規模に成長した台風 30 号（ハイエン）が先週フィリピンを襲い、壊滅的な破壊の爪あとを残しました。死者は 10,000 人を超えるとも言われ、世界中からいくつもの NGO や組織が支援に乗り出しています。寄付金の募集も、各種のソーシャルネットワークや有名な Web サイトで始まっています。それと同時に、スパマーもこの事態につけ込んで、寄付金募集を装った電子メールを送り始めました。

図. フィリピンを襲った台風 30 号を悪用する詐欺メール

ここに挙げた例でも、スパマーから送られてくる電子メールは一見してまったく問題がなさそうですが、注意して見てみると「HELP PHILIPPINES（フィリピンの人道支援）」と題したこの電子メールは異なる電子メールアドレスから送信されていることがわかります。

スパマーは、有名なニュース番組のキャスター兼レポーターであると自称しており、この組織はフィリピンで被害の大きかった地域の被災者を支援しているように見えます。また、スパマーが送金機関として指定しているのも名の通った銀行です。今後の連絡先として別の電子メールアドレスも載せていますが、これは無料メールのサービスプロバイダを利用して作成されています。電子メールの全体的な印象や内容はきわめて本物らしく見え、丁寧でもあるため、受け取った人はこれが実際には詐欺メールだと気付かないかもしれません。

このような詐欺の被害に遭わないように、以下の予防対策を講じるようにしてください。

• 迷惑メールを開かないように特に注意する。
• 寄付金を送る場合には、宛先の組織が本物かどうかを確認する。
• 個人情報や機密情報を尋ねてくる電子メールには応答しない。

また、スパム対策シグネチャを定期的に更新することもお勧めします。シマンテックは、台風 30 号を悪用するフィッシング攻撃、マルウェア、ソーシャルネットワーク攻撃などの手口に目を光らせています。最善の保護対策を提供し、最新情報をお届けできるように、こうした攻撃の調査を続ける予定です。

台風の被災者支援は、正規の確実な経路を通じて行うようにしましょう。

このたびの災害で近しい人を亡くされた被災者の皆さまに、心から哀悼の意を表します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Contributor: Vijay Thawre
Typhoon Haiyan, one of the strongest recorded tropical cyclone struck the Philippines this week, leaving behind mass destruction to life and property. With more than 10,000 dead, call for help has been raised by several NGOs a…

ディーワーリーがいよいよ間近に迫り、多くの人々がお祭り気分でオンラインショッピングを利用していることでしょう。なんといっても、最近のオンラインショッピングは楽しく、簡単で迅速です。

インドでは、オンラインショッピングが成熟期を迎えています。時間も掛からずお買い得情報も多いということで、この手軽な購入方法が人気を集めていますが、それと同時に、オンラインショッピングは、人々の隙を狙うサイバー犯罪者にとって絶好の狩り場になっていることを忘れてはなりません。詐欺師たちは、相も変わらず「特別セール、スピード配達」を謳った電子メールを送りつけています。

今回のブログで取り上げるサンプルでは、サードパーティ製のメーラーと、最近登録されたばかりのスパムドメインが、悪質な Web サイトへの誘導に使われています。以下に示すのは、スパマーがインドのオンラインショッピングを徹底的に研究し、それに合わせて攻撃活動をカスタマイズしていることがわかるサンプルです。

件名: This Diwali Gift B[REMOVED] – A Rare Collection of Modern & Stylish Home Utility Products（ディーワーリー向けギフト B [削除済み] – ここだけの品揃えでモダンかつスタイリッシュな家庭用品をお届け）
差出人: “B[削除済み]” <edm@[削除済み].co.in>

図 1. ホリデーシーズンを餌にしたスパムメール

スパムドメインは、このメッセージがインドの有名ブランドから送られたものであるかのように偽装されています。また、「差出人」欄でも、ユーザーを欺くようなトップレベルドメイン（TLD）が使われています。

次のサンプルメッセージは、有名ブランド腕時計の特別ディスカウントを謳ってユーザーを誘おうとするスパムです。ここでも同じようにインドの有名ブランドを騙り、サードパーティ製のメーラーを使ってスパムが拡散されています。

件名: DIWALI DHAMAKA Upto 80% Off On Watches, Clothing & Accessories（ディーワーリー特別セール、腕時計、衣料品、アクセサリが最大 80% オフ）
差出人: “B[削除済み] T[削除済み]” admin@[削除済み].org

図 2. 腕時計のディスカウントでユーザーを誘うスパムメール

スパムの手口はこれで終わりではありません。ユーザーがスパム用の Web サイトを閲覧し、購入する商品を選択すると、とたんに様子が変わりフィッシング攻撃が始まります。クレジットカードやデビットカードの情報を入力してカートの商品の購入代金を支払うよう求められるのです。

オンラインショッピングを楽しむ前に、以下の注意点を守るようにしてください。

• よく知らない Web サイトではショッピングをしない。
• 転送されたメッセージに記載されている広告リンクをクリックするときは十分に注意する。
• 詐欺の可能性が高いので、ディスカウントには安易に飛びつかない。
• オンライン決済の際にはくれぐれも用心する。
• セキュリティ対策を実施していないスマートフォンやモバイルデバイスを使ったオンラインショッピングは特に危険であることに留意する。
• サードパーティのオンラインショッピング用アプリケーションは悪質な場合があるので注意する。

シマンテックは、このホリデーシーズンにもユーザーの皆様の安全のために全力を尽くしますが、皆様も忘れずにウイルス対策シグネチャを更新するようにしてください。楽しく安全なディーワーリーをお過ごしください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Diwali is just around the corner and many users will be scampering for their festive shopping. since online shopping is cool, fast and easy these days.

India has come of age when it comes to online shopping. Many Indians are turning towards this easier mode of purchase which is less time consuming and comes with better bargains, but it is also turning out to be an easy hunting ground for opportunistic cybercriminals. Scammers and fraudsters are once again doing the rounds with out-of-the-world offers and speedy deliveries to users’ doorstep.

In the sample case discussed below, third-party mailers and spammy domains that are recently registered .in TLDs (top level domains) are being used for nefarious web activities. The samples discussed below illustrate how the spammers have conducted a thorough study of India’s online shopping environment, and customized their campaigns accordingly.

Subject: This Diwali Gift  Bxxxx – A Rare Collection of Modern & Stylish Home Utility Products
From: “Bxxxx” <edm@XXXXX.co.in>

The spammer has garbed the domain to show that the message is from an Indian brand. They also used a top level domain in the “From” line, to trick the user.

In the second sample message, the spammer tries to woo the user by offering a very big discount on branded watches. Similarly, an Indian brand is spoofed to disperse spam using third party mailers.

Subject: DIWALI DHAMAKA Upto 80% Off On Watches, Clothing & Accessories
From: “BXXX TXXXX” admin@XXXXX.org

The spamming process does not stop here. Once the user has started flipping pages on the spammy website, and has chosen items to purchase, spammers shift their gear to phishing, where the user falls into the trap of paying for chosen items in the cart with their debit/credit card details.

Before going on an online shopping spree, Symantec advises users to pay attention to the following:

• Avoid shopping at unknown websites
• Be careful while clicking on offers from forwarded messages
• Do not fall for discounts that turn out to be scams
• Be attentive when doing payments
• Unsecured personal smartphones and mobile devices make online shopping more dangerous
• Beware of third party online shopping applications for your hand held devices that can infect it with malware
• With the increasing use of such utility devices to do online purchases, booking of tickets, shopping, payments, and storage of personal data on-the-go.

Symantec makes every effort to keep you safe this festive season. Let us help you be safe, don’t forget to update your antivirus signatures. We wish you and your loved ones a safe and hassle-free Diwali.