Keeping email and web security services up and running is vital to businesses, and protecting the management of these services via a simple username and password is not enough for some organizations.
For those who desire additional security to further …
Last week, we shared details of how the HeartBleed OpenSSL vulneratbility affected our Email & Web Security products.
The newest feature in our Web Security.cloud product, the ability to analyze and control data over HTTPS communicat…
先週、Instagram を悪用する詐欺師から、宝くじに当選したと称して、その当選金をフォロワーに進呈すると騙る画像が投稿されました。詐欺師はユーザーを欺いてこの投稿を共有させ、個人情報を引き出したり、さらには詐欺師への送金を求めたりします。
この詐欺では、英国と米国の現実の宝くじ当選者になりすますために多数の Instagram アカウントが作成されました。そして、そのアカウントをフォローし、コメントと電子メールアドレスを残してくれたユーザーに 1,000 ドルずつ進呈すると謳っています。
図 1. 実際の宝くじ当選者になりすました Instagram アカウント
宝くじ当選者になりすましたアカウントの成功率はきわめて高く、5,000 ~ 10,000 人程度のフォロワーを獲得しています。
一定数のフォロワーを集めると、今度は当選者たちの「会計士」と称する人物の Instagram アカウントが登場します。この会計士が 1,000 ドルの送金を担当するということになっていますが、そこに罠が仕掛けられています。
図 2. 偽「会計士」のプロフィールが金銭を要求してくる
上の図では、「会計士」のプロフィールを名乗る人物が、大手の決済処理サービスを使って 0.99 ドルを送金するよう Instagram ユーザーに求めています。小切手を送るための郵送費用という名目です。
図 3. 宝くじ詐欺に引っかかってしまったユーザー
警戒すべき要素がたくさんあったにもかかわらず、この詐欺は成功を収めており、各アカウントが数千人のフォロワーを集めました。フォローしたユーザーは喜んで電子メールアドレスを公開し、一部のユーザーは郵送費用の負担分として 0.99 ドルを実際に支払っています。
この詐欺攻撃の最大の目的は、数千人のフォロワーを持つアカウントを集め、それを自分で利用するか転売することでした。シマンテックによる調査中に、なりすましアカウントの一部に関連しているユーザー名で、アカウントピボットが実行されました。つまり、アカウントがスパム認定されないように、アバター、ユーザー名、ユーザープロフィールが変更されたのです。こうすると、詐欺師は同じアカウントを使い続けるか売却することができます。
図 4. Instagram のなりすましアカウントが、フォロワー数を減らして再登場
アカウントピボットの直後に、なりすましアカウントが再登場しましたが、フォロワー数は以前より少なくなっていました。なかには、「ハッキングされた」と称してしばらく待つように求めるアカウントまで現れています。
これらのアカウントが偽物であることは明らかですが、Instagram アカウントをフォローするだけで 1,000 ドルが手に入ると信じ込むユーザーは後を絶ちません。
以下のような予防対策を講じることをお勧めします。
ウソのような儲け話は、しょせんはウソだということを忘れないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
先週、Instagram を悪用する詐欺師から、宝くじに当選したと称して、その当選金をフォロワーに進呈すると騙る画像が投稿されました。詐欺師はユーザーを欺いてこの投稿を共有させ、個人情報を引き出したり、さらには詐欺師への送金を求めたりします。
この詐欺では、英国と米国の現実の宝くじ当選者になりすますために多数の Instagram アカウントが作成されました。そして、そのアカウントをフォローし、コメントと電子メールアドレスを残してくれたユーザーに 1,000 ドルずつ進呈すると謳っています。
図 1. 実際の宝くじ当選者になりすました Instagram アカウント
宝くじ当選者になりすましたアカウントの成功率はきわめて高く、5,000 ~ 10,000 人程度のフォロワーを獲得しています。
一定数のフォロワーを集めると、今度は当選者たちの「会計士」と称する人物の Instagram アカウントが登場します。この会計士が 1,000 ドルの送金を担当するということになっていますが、そこに罠が仕掛けられています。
図 2. 偽「会計士」のプロフィールが金銭を要求してくる
上の図では、「会計士」のプロフィールを名乗る人物が、大手の決済処理サービスを使って 0.99 ドルを送金するよう Instagram ユーザーに求めています。小切手を送るための郵送費用という名目です。
図 3. 宝くじ詐欺に引っかかってしまったユーザー
警戒すべき要素がたくさんあったにもかかわらず、この詐欺は成功を収めており、各アカウントが数千人のフォロワーを集めました。フォローしたユーザーは喜んで電子メールアドレスを公開し、一部のユーザーは郵送費用の負担分として 0.99 ドルを実際に支払っています。
この詐欺攻撃の最大の目的は、数千人のフォロワーを持つアカウントを集め、それを自分で利用するか転売することでした。シマンテックによる調査中に、なりすましアカウントの一部に関連しているユーザー名で、アカウントピボットが実行されました。つまり、アカウントがスパム認定されないように、アバター、ユーザー名、ユーザープロフィールが変更されたのです。こうすると、詐欺師は同じアカウントを使い続けるか売却することができます。
図 4. Instagram のなりすましアカウントが、フォロワー数を減らして再登場
アカウントピボットの直後に、なりすましアカウントが再登場しましたが、フォロワー数は以前より少なくなっていました。なかには、「ハッキングされた」と称してしばらく待つように求めるアカウントまで現れています。
これらのアカウントが偽物であることは明らかですが、Instagram アカウントをフォローするだけで 1,000 ドルが手に入ると信じ込むユーザーは後を絶ちません。
以下のような予防対策を講じることをお勧めします。
ウソのような儲け話は、しょせんはウソだということを忘れないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
By now you should be well aware of the vulnerability CVE-2014-0160, nicknamed HeartBleed, that exists in a number of versions of OpenSSL – an extremely popular open source cryptographic library.
Yesterday, we provided some guidance on st…
Over the last few days, Instagram scammers have been posting images offering fake lottery winnings to followers. They have convinced users to share the posts, give up personal information, and even send money back to the scammers.
In this scam, a number of Instagram accounts have been created to impersonate real-life lottery winners from the UK and US. These accounts claim to offer US$1,000 to each Instagram user who follows them and leaves a comment with their email address.
Figure 1. Instagram accounts impersonating real-life lottery winners
The accounts impersonating lottery winners have been extremely successful, and have gained anywhere from 5,000 to 100,000 followers.
Once they have amassed a certain number of followers, they reveal a secondary Instagram account belonging to their “accountant”, who is in charge of delivering the US$1,000 to users—with a catch.
Figure 2. Fake “accountant” profiles asking users for money
The previous figure shows the “accountant” profiles asking Instagram users to send US$0.99 through a large payment processing service to cover the postage fees for mailing out the checks.
Figure 3. Users who have fallen for the lottery scam
Even though a number of red flags were present for users, the scam has proven to be a success. Each account has gained thousands of followers, with users willingly divulging their email addresses, and some users sending scammers US$0.99 for the supposed postage fees.
The main goal of this scam campaign was to collect accounts with thousands of followers for personal use or resale. During our research, we also found that user names associated with some of the impersonation accounts had performed an account pivot. This means the avatar, user name, and user biography section were changed to preserve the account from being flagged for spam. This allowed the scammers to continue to use or sell the account.
Figure 4. Instagram impersonation accounts have reappeared with fewer followers
Shortly after the account pivot, the impersonation accounts reappeared, but with fewer followers than before. One of the accounts even claimed that it was “hacked” and asked followers to be patient.
It’s clear that these accounts are fraudulent, but users continue to believe that they will be given US$1000 just for following Instagram accounts.
Symantec advises users with the following precautions:
Always remember that if it sounds too good to be true, it is.
ソチオリンピックはどうやら平穏に幕を閉じたようですが、この一大イベントがテロリストに狙われる可能性についてメディアの注目と懸念が集まっていたことを考えると、サイバー犯罪者がその不安心理を突いて、興味を示しそうなユーザーを標的にしていたのも予想外のことではありません。
開催期間中に、シマンテックはソチオリンピックの話題を餌にした標的型の電子メール攻撃を複数確認しました。確認された電子メール攻撃は Symantec.Cloud サービスによって遮断されています。この攻撃のある例では、標的のユーザーに次のような電子メールが送り付けられました。
図 1. ソチオリンピックを狙うテロの脅威に関する内容と称する電子メール
この例では、攻撃者はソチオリンピックを狙うテロの脅威を題材にしたソーシャルエンジニアリングの手法を使って、ユーザーを欺こうとしていました。電子メールの作りは素人然としていますが、内容で気を引いてしまえば添付ファイルを開かせるのは簡単かもしれません。被害者がうかうかと添付ファイルを開いてしまうと、コンピュータは Backdoor.Darkmoon に感染します。Darkmoon はよく使われているリモートアクセス型のトロイの木馬(RAT)です。G20 サミットが餌に使われた経緯をお伝えした最近のブログや、2011 年のホワイトペーパー「The Nitro Attacks」(英語)でも解説しているとおり、標的型攻撃に頻繁に使われています。
ソチオリンピックを題材にした別の標的型攻撃では、攻撃者から次のような電子メールが届きました。
図 2. ソチオリンピックにおける軍事協力活動に関する内容と称する電子メール
この例でも、攻撃者はソチオリンピックをめぐる軍事協力活動を題材にしたソーシャルエンジニアリングの手法を使っていますが、今回のペイロードは Trojan.Wipbot です。これも、類似の標的型攻撃に関連したトロイの木馬で、Windows の特権昇格のゼロデイ脆弱性を悪用した攻撃で使われていました。
こうした攻撃によって、迷惑メールを受け取った場合に依然として警戒が必要であることが改めて明確になりました。従来の手口が強化されることもあります。標的型攻撃の攻撃者は最新のニュースやイベントをすかさず悪用し、ソーシャルエンジニアリングの成功率を少しでも高くしようとします。今回の攻撃で、標的型の電子メール攻撃が近い将来に一掃される気配はまったくないということも明らかになりました。
このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
While the Sochi Winter Olympics may now be over without incident, considering all of the media attention and fears surrounding a potential terrorist attack at the event, it should come as no surprise that cyberattackers were preying on these uncertainties to target potential victims of interest.
During the games, Symantec saw multiple targeted email campaigns that used Sochi Olympics themes to bait potential victims. These observed email campaigns were blocked by our Symantec.Cloud service. In one such campaign, we saw that targets were being sent the following email.
Figure 1. Email purporting to relate to a terrorist threat at the Sochi Olympics.
In this campaign, attackers were using the social engineering ploy of a terrorist threat at the Sochi Olympics to lure in their victims. While the email does not look professional, the curiosity for the content can still be enough to persuade an individual to open the attachment. If a victim fell prey to opening the attachment, their computer became infected with Backdoor.Darkmoon. Darkmoon is a popular remote access Trojan (RAT) which is often used in targeted attacks, as seen in a recent Symantec blog about how the G20 Summit was used as bait in targeted emails and in the 2011 Symantec whitepaper, The Nitro Attacks.
In another targeted campaign using the Sochi Olympics theme, we observed the following email that was being sent by an attacker to targets of interest.
Figure 2. Email purporting to relate to military co-operation at the Sochi Olympics
Again, as seen in the email, the attackers used the social engineering ploy of military co-operation around the Sochi Olympics. This time, the payload was Trojan.Wipbot. This Trojan is associated with another similar targeted attack campaign, which included an attack that used a Windows zero-day elevation of privilege vulnerability.
These attacks highlight the ongoing need for vigilance when receiving any unsolicited emails. They also reinforce what is already known — targeted attackers are quick to make use of the latest news or events to enhance the chances of success for their social engineering ploy. The campaigns also highlight how targeted email attacks are showing no sign of dissipating anytime soon.
As always, we advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.