AVAST is gearing up to expand further into the US market. With nearly 14 million active avast! Antivirus users in the USA, some would call that a success, but we see it as an opportunity to protect American’s online lives and multiple devices in a bigger way. With the announcement of a new investment in the […]
Did you ever lose your mobile device? Or did you ever accidentally drop it and could not restore your contact details, pictures, text messages? Perhaps you forgot that you have your brand new smartphone in your pocket, when you decided to jump into the pool during your vacation? We hope nothing like this has ever […]
先日のスーパーボウルで話題になった Esurance 社のコンテストへの参加者を狙って、詐欺師はさっそく攻撃を仕掛けています。スーパーボウル終了直後に CM を放映した同社は、#EsuranceSave30 というハッシュタグを使って投稿した Twitter ユーザーの中から抽選で 1 名に 150 万ドルを進呈すると発表しました。シマンテックセキュリティレスポンスはその直後から、このコンテストに対する注目度の高さを利用する目的で Esurance 社の偽 Twitter アカウントが大量に作成されていることを確認しました。
偽 Twitter アカウントの多くは、Esurance 社のブランド名のバリエーションとロゴを使って、同社と正規に関連しているように思わせていました。偽アカウントでは、以下のような Twitter 名が使われています。
ロゴと画像を使って Esurance 社のアカウントに見せかけようとしているアカウントはほかにもありますが、名前はブランドと無関係です。たとえば @HeIpfulTips というアカウントがあります。この「HeIp」の中の「I」は小文字の「エル」ではなく大文字の「アイ」です。
2012 年 12 月に作成されたこのアカウントは、数千人のフォロワーを集めていますが、コンテスト中に「アカウントピボット」を実行しました。アバター、プロフィール、ヘッダー画像を変更して、Esurance 社のコンテストの一環であるかのように見せかけたのです。このアカウントにはさらに数千人のフォロワーが増え、コンテスト関連のツイートは一晩で 40,000 回以上もリツイートされました。
図 1. Esurance 社のコンテストとの関連性を偽装した Twitter アカウント
同日の午後に入ると、Esurance 社のツイートから十分なフォロワーを獲得したからか、このアカウントは再びアカウントピボットを実行して、Life Hacks という名前に戻りました。
図 2. Esurance 社に偽装したアカウントは、数千人のフォロワーを獲得後、元の名前に戻った
これと同類のアカウントの多くは、リツイートやフォロワーを獲得することを特に目指しましていますが、シマンテックはそれ以上の悪用があることを確認しています。たとえば、Esurance 社を騙る偽アカウントの中には、コンテストの勝率を上げるためと称してフォロワーに寄付金を募るものもありました。
図 3. コンテストの勝率を上げると称して寄付金を募る Twitter アカウント
この活動はただちに閉鎖されましたが、その時点ですでに 261 ドルの寄付金が集まっていました。
こうしたアカウントは、フォロワーにフィッシングリンクを送りつけ、コンテストの参加者を増やすために Twitter にログインするよう求めるためにも使われている可能性があります。
そもそも、このようなアカウントが作成された目的は何なのでしょうか。コンテストの人気やそのハッシュタグに便乗することで、一部のアカウントは 1,000 人から 100,000 人ものフォロワーを集めました。その後、これらのアカウントの所有者は、本当の Twitter フォロワーを集めているアカウントを探し求めている個人に、偽のアカウントを売ることができます。そして、アフィリエイトスパムに利用されるのかもれしません。
マーケティングの目的で Twitter を利用するブランドが増えていますが、「認証済み」あるいはブランドに公式に関連付けられている Twitter アカウントからのコンテストルールを探して、その更新情報をフォローするようにしてください。今回の場合、Esurance 社は Web サイトに公式ルールと FAQ を公開しています。
Twitter 上でユーザーの誤解を誘おうとしている疑いがあるアカウントは、Twitter 社に報告してください。
ソーシャルメディア詐欺について詳しくは、シマンテックセキュリティレスポンスチームの Twitter アカウント(@threatintel)をフォローし、Twitter 詐欺に関するこれまでのブログもお読みください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
寄稿: Sean Butler
サッカーワールドカップ開催の年が始まった今、この世界的イベントに関連するキャンペーンが急増するのは当然のことでしょう。ワールドカップをめぐる興奮と熱狂を当て込んで、マーケティングや販促のキャンペーンが盛んになるものと予想されます。正規のマーケティングメールや販促メールに混じって、無料チケットを約束するメールや、コンテストや宝くじで新車が当選したと謳うメッセージが届くかもしれません。
嘘みたいなうまい話ですが、嘘みたいだという部分だけは的を射ています。
詐欺師は、今年の 6 月にブラジルで開催される FIFA ワールドカップに伴う熱狂を悪用しようと待ち構えています。万一にも詐欺に引っかかってしまうと、深刻な事態に陥りかねません。詐欺の被害者として銀行口座を空っぽにされてしまうだけでなく、コンピュータにマルウェアを仕掛けられてしまう恐れもあります。このマルウェアは、トロイの木馬をダウンロードしてユーザーの個人情報を盗み出す可能性もあれば、さらにはコンピュータに侵入してボットネットに組み込む機能まで備えているかもしれません。
シマンテックはすでに、FIFA ワールドカップに関連する詐欺メールをいくつか確認しています。シマンテックが発見した最初のサンプルは、FIFA ワールドカップを餌にしてマルウェアへのリンクを含む電子メールです。
この電子メールのヘッダーは以下のとおりです。
差出人: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@<ドメイン名>.com
件名: Copa do Mundo FIFA 2014
このヘッダーを翻訳すると次のようになります。
差出人: Congratulation you were the winner of a pair of tickets(ペアチケットの当選おめでとうございます) atendimento.promo5885631@<ドメイン名>.com
差出人: FIFA World Cup 2014(2014 FIFA ワールドカップ)
図 1. FIFA ワールドカップに関連するマルウェア攻撃メール
この電子メールを翻訳すると以下のような文面になります。
You are the winner of a pair of tickets to the FIFA World cup 2014 Brazil!(2014 FIFA ワールドカップブラジル大会のペアチケットが当選しました!)
Print your e-Ticket copy and collect the ticket from the ticket center in your city(電子チケットを印刷して、お近くのチケットセンターでチケットをお受け取りください)
Print Ticket(チケットを印刷)
Check out the address of the ticket center in your city here(お近くのチケットセンターの住所確認はこちら)
このメールを受信したユーザーは、リンクをクリックして試合のチケットを印刷するよう促されます。ところが、このリンク先は eTicket.rar というファイルをダウンロードする悪質な URL になっていて、このファイルに eTicket.exe という名前の実行可能ファイルが圧縮されています。
図 2. リンクをクリックすると悪質なファイルがダウンロードされる
次に、thanks.exe という名前のファイル(Infostealer.Bancos)が以下の場所に投下され、Windows を起動するたびに実行されます。
Programs/Startup/thanks.exe
このトロイの木馬はバックグラウンドで動作を続けながら、セキュリティ対策をすり抜け、金融口座などの個人情報を盗み出してログに記録し、後でリモートの攻撃者にそのデータを送信します。このマルウェアは、ブラジルの金融機関を標的にするようにカスタマイズされていることも確認されました。
電子メール内で参照されているすべての Web ページについてウイルスなどの脅威がないかどうかを確認するシマンテックの「リンク追跡」技術によって、URL の最後に含まれるマルウェアが正しく識別されるので、シマンテック製品をお使いのお客様は、この攻撃からすでに保護されています。次に検出定義が作成され、異なる URL だが同じマルウェアにつながる別のリンクを含む電子メールが今後見つかった場合には、感染しているのと同じように扱って検疫処理されます。
別の詐欺では、CIELO Brazil の偽広告が利用されています。CIELO 社は、ブラジルでクレジットカードとデビットカードを扱っている企業です。
図 3. 2014 FIFA ワールドカップに関連するフィッシングメール
この電子メールを翻訳すると以下のような文面になります。
Congratulations, you have been chosen to take part in the Cielo Cup 2014.(おめでとうございます。2014年 シエロカップの参加資格に当選しました)
To promote World Cup 2014, you must register to compete for prizes worth 20 thousand Reais,(2014 ワールドカップを宣伝するために、20,000 レアル相当の抽選に登録してください)
Tickets, accommodation in exclusive places during the 2014 world cup and you could also win a Fiat Doblo 0 Km. (Sic)(チケットと、2014 ワールドカップ開催期間中の豪華宿泊券のほか、さらに走行距離 0 km のフィアットドブロが当たるかも(原文ママ))
Don’t waste time! PURCHASE Register right now at no extra cost and avail the benefits of our promotion.(さあ、今すぐお買い上げを! 今すぐ登録すれば、追加のご負担なくこの広告の特典をご利用いただけます)
Join this Mega Promotion and compete for these Super Prizes.(このメガ特典に参加して、特別プレゼントを手に入れよう)
Click here to unlock your promo code(プロモーションコードの申請はこちらをクリック)
[Click Here](ここをクリック)ボタンをクリックすると、ユーザーは以下のリンクにリダイレクトされます。
http://cielobrasil2014l.fulba.com/[削除済み]/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html
リダイレクト先の Web ページでは、ユーザー名、生年月日、ブラジルの納税者番号(CPF)を入力するよう求められます。
図 4. 偽装された Web ページで個人情報を要求される
要求どおりに情報を入力すると、今度は図 5 のようなページにリダイレクトされ、銀行口座情報が要求されます。
図 5. 偽装された Web ページで銀行口座情報を要求される
さらに詳しく調べたところ、このフィッシング詐欺で使われている conteudo.casavilaverde.com というドメインは、ハッキングされたものであることが判明しました。
図 6. ハッキングされてフィッシング詐欺に使われているドメイン
最後に挙げる 3 つ目のサンプルは、ナイジェリア詐欺です。
図 7. FIFA ワールドカップを餌にした詐欺メール
この電子メールには、大手ブランドが協賛する宝くじと称するファイルが添付されています。最終的にユーザーの個人情報が要求される点は変わりません。また、この電子メールは正規の内容であると見せかけようとしていますが、これまでに紹介した他のサンプルに比べると、いかにも素人然としています。メール本文には画像も URL なく、Word 文書が添付されているだけというところが、誰の目から見ても疑わしい作りです。
シマンテックの高度な監視システムでこれらの詐欺メールは識別されているため、お客様に届くことはありません。
最初の 2 つのサンプルはポルトガル語が書かれ、ブラジル在住のユーザーが標的になっていましたが、カスタマイズして別の国や地域、他の言語に変更するのはごく簡単です。世界的なサッカー人気を考えれば、この手のスパムメールに多くのユーザーが引っ掛かってしまう可能性はあるかもしれません。
世界的なイベントは、興味や関心を持つ人々の数が多いことから潜在的な被害者数も多くなるため、詐欺師にとっては大きな稼ぎのチャンスです。そのため、こうした詐欺は 2014 ワールドカップが近づくほど増えてくるものとシマンテックは予測しています。
今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。
詐欺師の手口に騙されないように、嘘のようなうまい話の場合は特にご注意ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
サイバー犯罪者がクレジットカード情報を求める貪欲さには、際限がありません。オンラインで情報を盗み出す手口はいくつもありますが、なかでも狙いやすい標的が POS システムです。小売店の店頭レジ端末(POS)システムにおける購買額の 60% が、クレジットカードまたはデビットカードを使って支払われているという統計もあります。大規模な小売店では POS システムを使って毎日何千件という取引が処理されていることを考えれば、大量のクレジットカードデータを入手しようとしているサイバー犯罪者が POS 端末を集中的に狙うのも当然でしょう。POS システムに対する攻撃の手口と、その攻撃から保護する方法については、「Attacks on Point of Sales Systems(POS システムに対する攻撃)」と題したホワイトペーパー(英語)を参照してください。
今でも、クレジットカードやデビットカードのデータを各種の形式で公然と販売しているインターネットフォーラムが多数存在します。特に知られているのが「CVV2」というフォーラムで、ここではクレジットカード番号とともに、通常はカードの裏面に記載されている CVV2 セキュリティコードも売られています。カード番号と CVV2 コードだけでもオンラインショッピングは可能になりますが、一部のフォーラムではさらに儲けにつながる「Track 2」というデータまで売られています。Track 2 は、カードの磁気テープに記録されているデータの簡略形式で、このデータがあれば犯罪者はカードを複製してさらに利益につなげることができます。実店舗でもカードを使えるようになり、暗証番号まで手に入れれば ATM も利用できるからです。データの価値はオンラインフォーラムでの販売価格に反映されますが、その価格はデータの種類によって大きく異なります。CVV2 データの販売額はカード 1 枚あたり 0.1 ~ 5 ドル程度ですか、Track 2 データとなるとカード 1 枚あたり 100 ドルにも相当する場合さえあります。
図. インターネット上のフォーラムで売られているクレジットカードデータ
では、犯罪者はどうやってクレジットカードのデータを手に入れるのでしょうか。よく知られているのはスキミングという手口で、POS 端末に別の装置を取り付け、そこで使われたカードから Track 2 データを読み取ります。ただし、この手口では POS に物理的に接触しなければならず、取り付ける装置の費用も掛かるため、大々的に実行するのは容易ではありません。この問題に対処するために犯罪者が注目しているのが、POS マルウェアというソフトウェアによる解決策です。POS マルウェアで大規模小売店を狙えば、1 回の攻撃で何百万枚ものカードのデータを集めるすることができます。
POS マルウェアは、カードデータの処理過程におけるセキュリティのギャップを悪用します。カードデータは、決済承認のために送信される段階では暗号化されますが、実際に支払いが処理される段階、つまり代金を支払うために POS でカードを読み取らせる瞬間には暗号化されていません。犯罪者がこのセキュリティのギャップを初めて悪用したのは 2005 年のことで、アルバート・ゴンザレス(Albert Gonzalez)が仕組んだ攻撃活動によって 1 億 7,000 万枚ものカードデータが盗難に遭いました。
それ以来、マルウェアが供給販売される市場も成長し、POS 端末のメモリから Track 2 データが読み取られるまでになっています。ほとんどの POS システムは Windows ベースであり、そこで稼働するマルウェアを作成するのは比較的簡単です。このマルウェアは、メモリの中から Track 2 データのパターンに一致するデータを検出することから、メモリ読み取りマルウェアと呼ばれます。該当するデータがメモリで見つかると(カードを読み取るとすぐに出現する)、データは POS 上のファイルに保存され、攻撃者はこのファイルを後から手に入れます。POS マルウェアのなかでも特に有名なのが BlackPOS で、これはサイバー犯罪フォーラムで売られています。シマンテックは、このマルウェアを Infostealer.Reedum.B として検出します。
POS マルウェアを手に入れた攻撃者が次に実行するのは、マルウェアを POS 端末に仕掛けることです。POS 端末は通常はインターネットに接続されていませんが、企業ネットワークには何らかの形で接続されています。そこで、攻撃者はまず企業ネットワークへの侵入を試みます。これには、外部向けのシステムにおける脆弱性を悪用すればよいので、たとえば Web ブラウザで SQL インジェクションを利用するか、メーカー設定のデフォルトパスワードをそのまま使っている周辺機器を探します。ネットワークにいったん侵入したら、さまざまなハッキングツールを使って、POS システムをホストしているネットワークセグメントにアクセスします。POS マルウェアをインストールすると、攻撃者は攻撃活動が気付かれないように対策を講じます。これにはログファイルの消去や、セキュリティソフトウェアの改変などの方法がありますが、いずれの場合も、攻撃が存続し、できるだけ多くのデータを収集することができるように細工を行います。
残念ながら、この手口によるカードデータの盗難は当面続くものと予想されます。盗まれたカードデータは、使える期間が限られます。クレジットカード会社は異常な消費パターンを迅速に見つけるのに加え、用心深いカード所有者もそれは同様です。つまり、犯罪者は「新鮮な」カード番号を常に手に入れる必要があるということです。
幸いなことに、小売業界は最近の同様の攻撃から教訓を学んでおり、同じ攻撃の再発を防ぐ手段を講じています。決済のテクノロジも変わるでしょう。米国では、小売店の多くが EMV あるいは「チップアンドピン」方式の決済テクノロジへの移行を進めています。「チップアンドピン」方式のカードは、複製がはるかに難しいため、攻撃者にとっては魅力が乏しくなっています。もちろん、さらに別の新しい決済方法が登場する可能性もあります。モバイルすなわち NFC による支払いがもっと一般的になれば、スマートフォンが新しいクレジットカードになるかもしれません。
サイバー犯罪者がこうした変化に対応することは明らかですが、小売業界が新しいテクノロジを導入し、セキュリティ企業による攻撃者の監視も続くことから、大規模な POS 窃盗はますます困難になり、犯罪者にとってうまみが少なくなることは間違いないでしょう。
POS システムに対する攻撃の手口と、その攻撃から保護する方法については、シマンテックのホワイトペーパー「Attacks on Point of Sales Systems(POS システムに対する攻撃)」(英語)を参照してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Adobe 社は、Adobe Flash Player に存在するリモートコード実行の脆弱性(CVE-2014-0497)に対するセキュリティ情報を公開しました。この新しいセキュリティ情報 APSB14-04 によると、複数のプラットフォームで、さまざまバージョンの Adobe Flash Player に影響する整数アンダーフローの脆弱性が存在します。攻撃者は、この深刻な脆弱性を悪用して、リモートから任意のコードを実行できる可能性があります。Adobe 社では、この脆弱性がすでに悪用されていることを確認しています。
セキュリティ情報によれば、次のバージョンの Adobe Flash Player に脆弱性が存在します。
シマンテックセキュリティレスポンスは、今後も継続して状況を監視し、この脆弱性に関する追加情報が確認でき次第お知らせいたします。また、脆弱性悪用の可能性を軽減するために、Adobe 社が提供しているパッチを適用することをお勧めします。更新プログラムを入手するには、Adobe Flash Player のダウンロードセンターに直接アクセスするか、またはインストール済みの製品で表示される更新確認を承諾してください。Chrome および Internet Explorer に同梱されている Flash Player は、それぞれのブラウザを更新することで、脆弱性の存在しないバージョンに更新できます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Adobe has published a Security Bulletin for Adobe Flash Player CVE-2014-0497 Remote Code Execution Vulnerability (CVE-2014-0497). The new Security Bulletin, APSB14-04, identifies an integer underflow vulnerability which affects various versions of Adob…
Remember when throwing a sheep at your friend was one of the most fun things to do on Facebook? Well, today the world’s largest social networking site is all grown up and celebrates its tenth year in existence. Happy Birthday, Facebook! Here are 10 fun facts you can think about while Facebook’s 6,300 employees worldwide […]
Scammers are taking advantage of recent Super Bowl social buzz in a scheme which target entrants of an Esurance contest. The company premiered a commercial following Super Bowl, where they offered US$1.5 million dollars to one lucky Twitter user who used the hashtag #EsuranceSave30. Following this, Symantec Security Response has observed a number of fake Esurance Twitter accounts being created to leverage the attention generated by this contest.
Many of these Twitter accounts used variations of Esurance’s brand name and logo to convince users they are affiliated with the company. These accounts include the following Twitter handles:
There are also other accounts that use logos and imagery making them look like they belong to Esurance, but their names have nothing to do with the brand. An example is an account named @HelpfulTips, whereby the “l” in Help is the capitalized letter “i”.
This account, created in December 2012, has racked up thousands of followers but performed an “account pivot” during the contest–it changed its avatar, bio and header image, and claimed to be part of the Esurance giveaway. The account added thousands of Twitter followers and received more than 40,000 retweets for a tweet related to the contest overnight.
Figure 1: Twitter account which claims to be associated with the Esurance giveaway
Earlier this afternoon, it performed yet another account pivot–after gaining enough followers from the Esurance tweets, it reverted back to a LifeHacks account.
Figure 2: Fake Esurance account pivots back after gaining thousands of followers
Many accounts of such nature focus on gaining retweets and followers, but Symantec has identified further abuse. For example, one of the fake Esurance accounts has asked its followers to donate money to increase their chances of winning the contest:
Figure 3. Twitter account asks for donations to increase their chances of winning the contest
This campaign was shut down quickly, but already received US$261 in donations by then.
These accounts could also be used to send phishing links to followers, asking them to login to Twitter to earn more entries in the contest.
Why are these accounts being created in the first place? By riding on the popularity of the contest and the hashtag, some of these accounts have gained anywhere between 1,000 to 100,000 followers. After that, the owners of these accounts are able to sell these fake accounts to individuals who are looking for accounts with real Twitter followers instead of fake ones. This can then be used for affiliate spam.
As more brands use Twitter for marketing purposes, Symantec advises users to look for and follow updates and contest rules from Twitter accounts that are “verified” and/or officially associated with the brand. In this case, Esurance has provided a set of official rules and frequently asked questions on their website.
If you suspect an account is attempting to mislead users on Twitter, you can report the account to Twitter.
To learn more about social media scams, follow Symantec Security Response team on @threatintel and read our blogs on previous Twitter scams:
Estamos iniciando el año en que se jugará el Mundial de futbol y es natural que en los siguientes meses veamos varias campañas relacionadas con este evento. Habrá mucho marketing y promociones asociadas con el entusiasmo y el interés que genera el evento. Entre todo el marketing y correos electrónicos promocionales legítimos, podríamos recibir correos con premios prometedores como entradas gratuitas o notificaciones de la lotería diciéndonos que hemos ganado un automóvil, por ejemplo.
Si piensa que suena demasiado bueno para ser verdad podría estar en lo cierto.
Los estafadores trataran de aprovecharse del entusiasmo vinculado con la Copa Mundial que se llevará a cabo en Brasil en junio y las consecuencias de que los usuarios sean víctimas de un fraude podrían ser graves. Los estafadores no solo pueden vaciar una cuenta bancaria sino que también podrían llenar de malware nuestra computadora. Esto puede implicar el robo de datos personales al descargar un Troyano o comprometer nuestro equipo y hacerlo parte de un Botnet.
En los últimos días, Symantec ha detectado varios correos fraudulentos relacionados con el Mundial de futbol, a continuación los detalles.
El primer ejemplo de fraude que Symantec identificó es un correo electrónico similar al que mostramos a continuación, el cual contiene un vínculo a un código malicioso:
Versión en portugués:
De: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@Domain.com
Asunto: Copa do Mundo FIFA 2014
Figura 1. Traducción del encabezado del correo electrónico con código malicioso (malware)
Figura 2. Ataque de código malicioso relacionado con el Mundial de la FIFA
Figura 3. Traducción del contenido del correo electrónico con malware
Se invita al usuario a hacer clic en la liga para imprimir el boleto al partido.
Pero, la liga lleva a un URL malicioso que descarga un archivo adjunto llamado eTicket.rar y que contiene el programa ejecutable: eTicket.exe, como se muestra en la imagen a continuación.
Figura 4. Imagen del archivo adjunto (malware) que se descarga al hacer clic en la liga
Al ejecutarlo, se instala el archivo thanks.exe en el directorio de Programas/Inicio y se activa un Troyano en constante evolución Infostealer.Bancos y ese archivo continuará funcionando en segundo plano sin que el usuario lo note. Luego, tratará de evadir las medidas de seguridad, robar información financiera confidencial, registrar los datos recolectados y finalmente los enviará al atacante remoto. También hemos descubierto que el malware está dirigido especialmente para las instituciones financieras brasileras.
Los clientes de Symantec están protegidos contra este ataque gracias a la tecnología de “Seguimiento de vínculo” (‘Link following’), que revisa todas las páginas de Internet referidas en un correo electrónico en busca de virus u otras amenazas, lo que permite identificar el malware en el URL incluido en el mensaje. A partir de esto, se creó la detección para que en el futuro los correos que contuvieran diferentes ligas a este malware, sean reconocidos como infectados y puestos en cuarentena.
Otro ejemplo de engaños en Internet relacionados con este tema es una supuesta promoción de la marca CIELO en Brasil. CIELO es un operador de tarjetas de crédito y débito en Brasil.
Figura 5. Phishing por correo electrónico relacionado con el Mundial 2014
El mensaje traducido es el siguiente:
Figura 6. Traducción del contenido del contenido del correo de phishing
Al dar clic en la liga dentro del correo con el siguiente URL:
<http://conteudo.casavilaverde.com/logs/copa2014/index.php?%email%>
Se redirige al usuario a:
http://cielobrasil2014l.fulba.com/copa,fuleco.dll/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html
Entonces la página de Internet solicita al usuario ingresar su nombre, fecha de nacimiento y el número de identificación fiscal de Brasil (Cpf).
Figura 7. El URL del phishing abre la página de Internet alterada y solicita datos personales.
Al proporcionar la información, el usuario es dirigido a la página que mostramos abajo que solicita los datos bancarios de los usuarios.
Figura 8. La página de Internet alterada solicita datos bancarios.
En un análisis más profundo encontramos que el dominio conteudo.casavilaverde.com está hackeado y se muestra como:
Figura 9. El dominio del URL en el correo está hackeado
Finalmente, el tercer ejemplo detectado por Symantec es una nueva versión de estafa nigeriana con los siguientes encabezados:
De: “FIFA 2014 World Cup Award”<globalpromotions@ @[domain].ru>
Asunto: Window Live Games 2014 FIFA World Cup
Figura 10. Adjunto del ejemplo de fraude nigeriano relacionado con el Mundial
El correo incluye un archivo adjunto que supuestamente es un premio patrocinado por grandes marcas y para obtenerlo se solicita al usuario información personal. El correo también contiene una nota que trata de parecer legítima pero inmediatamente se advierte que es algo amateur en comparación con los otros dos ejemplos mencionados. No hay imágenes ni URL en este correo y el hecho de que contenga un adjunto Word hace que resulte sospechoso.
Los sistemas de monitoreo avanzados de Symantec pudieron identificar los tres ejemplos de estafas electrónicas presentadas en este blog protegiendo así a nuestros clientes.
Mientras que los primeros dos correos están redactados en portugués dirigidos a personas en Brasil, los correos no deseados pueden personalizarse fácilmente por regiones, países e idiomas, teniendo en cuenta el interés que existe actualmente en el futbol.
Los eventos mundiales pueden ser muy lucrativos para los estafadores ya que tienen el potencial de estafar a más cantidad de personas debido al interés sobre dichos eventos. Como consecuencia, Symantec espera que la cantidad de correos fraudulentos se incremente a medida que se acerca la fecha del evento.
Como medida preventiva para los usuarios recomendamos no compartir información personal o confidencial. Debido al riesgo de pérdida financiera y de información confidencial en juego, Symantec aconseja a los usuarios estar alerta y seguir los siguientes consejos de seguridad:
Symantec constantemente monitorea los ataques de spam para asegurarse de informar a los usuarios con información sobre las más recientes amenazas.
¡Que no te tomen fuera de lugar cuando se trata de ofertas y promociones, especialmente aquellas que parecen muy buenas para ser verdad!