Tag Archives: cell phone

????????????????????????????????????

フィッシングのエサをどれだけ効果的にできるか。フィッシング詐欺師が最優先で考えているのは、常にその一点です。詐欺師は、できるだけ多くのユーザーの関心をひくような話題を反映したエサを好んで使いますが、最近の手口はさらに一歩進んでいます。目をひくエサを使うだけではなく、ユーザーが詐欺の片棒をかつぐように仕向けているのです。今回の例では、携帯電話の無料通話時間がエサとして使われました。

このフィッシングサイトは、インドの Facebook ユーザーに対して、携帯電話の無料通話サービスを利用するために、ログイン情報を入力してアカウントを確認するよう求めていました。ところが、このフィッシング詐欺師は 1 人のユーザーを欺くだけでは満足せず、もっと多くのユーザーを狙おうとします。このサービスを利用するには、一定数以上の友達のプロフィールページに、同じ広告を投稿する必要があると煽るのです。こうした手口をとるのは、言うまでもなく、出所が不明なメッセージより友達から届くメッセージのほうが説得力があるからです。この手口を使えば、労せずして無防備なユーザーがスパム送信に協力してくれます。

image1_4.jpeg

図 1. Facebook のアカウント確認
 

image2_2.jpeg

図 2. 「いいね」を求める
 

image3_1.jpeg

図 3. 共有を誘う
 

image4_1.jpeg

図 4. 共有を誘い、個人情報の入力を求める
 

フィッシングサイトの最初のページでは、Facebook アカウントを確認するよう求められ、すべての情報を正しく入力する必要があるという注意書きも表示されます。2 ページ目では、インドの携帯電話事業者を抜粋した一覧画像が表示され、あと 4 つのステップを完了すれば「500 ルピー」相当の無料通話時間を利用できるようになると説明されます。必要なステップは基本的に、「いいね」を押すこと、購読、共有、そして 10 人以上の友達のプロフィールページにこの広告を投稿することです。プロセスの最終段階では、名前、メールアドレス、携帯電話番号、回線事業者、セルラーゾーンなどの個人情報の入力を要求されます。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????????????

フィッシングのエサをどれだけ効果的にできるか。フィッシング詐欺師が最優先で考えているのは、常にその一点です。詐欺師は、できるだけ多くのユーザーの関心をひくような話題を反映したエサを好んで使いますが、最近の手口はさらに一歩進んでいます。目をひくエサを使うだけではなく、ユーザーが詐欺の片棒をかつぐように仕向けているのです。今回の例では、携帯電話の無料通話時間がエサとして使われました。

このフィッシングサイトは、インドの Facebook ユーザーに対して、携帯電話の無料通話サービスを利用するために、ログイン情報を入力してアカウントを確認するよう求めていました。ところが、このフィッシング詐欺師は 1 人のユーザーを欺くだけでは満足せず、もっと多くのユーザーを狙おうとします。このサービスを利用するには、一定数以上の友達のプロフィールページに、同じ広告を投稿する必要があると煽るのです。こうした手口をとるのは、言うまでもなく、出所が不明なメッセージより友達から届くメッセージのほうが説得力があるからです。この手口を使えば、労せずして無防備なユーザーがスパム送信に協力してくれます。

image1_4.jpeg

図 1. Facebook のアカウント確認
 

image2_2.jpeg

図 2. 「いいね」を求める
 

image3_1.jpeg

図 3. 共有を誘う
 

image4_1.jpeg

図 4. 共有を誘い、個人情報の入力を求める
 

フィッシングサイトの最初のページでは、Facebook アカウントを確認するよう求められ、すべての情報を正しく入力する必要があるという注意書きも表示されます。2 ページ目では、インドの携帯電話事業者を抜粋した一覧画像が表示され、あと 4 つのステップを完了すれば「500 ルピー」相当の無料通話時間を利用できるようになると説明されます。必要なステップは基本的に、「いいね」を押すこと、購読、共有、そして 10 人以上の友達のプロフィールページにこの広告を投稿することです。プロセスの最終段階では、名前、メールアドレス、携帯電話番号、回線事業者、セルラーゾーンなどの個人情報の入力を要求されます。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers Pursue More Victims by Urging Users to Spam

Improving effectiveness of phishing bait is always at the top of any phishers’ agenda. They prefer to use bait that reflects enticing subjects in order to catch the attention of as many users as possible. Recently, we have seen phishers moving one step ahead. In addition to having eye-catching bait, they are compelling users to spread the word. In today’s example, phishers used free cell phone airtime as the phishing bait.

The phishing site requested Indian Facebook users to verify their account by entering their login credentials in order to get the fake offer of free cell phone airtime. But phishers, not content with just duping one user and eager to target even more, start off by saying the offer is only valid after posting this same offer on the profile pages of a number of friends. Phishers devised this strategy because obviously receiving messages from friends is more convincing than from unknown sources. The method phishers are using in effect enlists unsuspecting users into spamming for them.
 

image1_4.jpeg

Figure 1. Facebook account verification
 

image2_2.jpeg

Figure 2. “Like us” enticement
 

image3_1.jpeg

Figure 3. Sharing enticement
 

image4_1.jpeg

Figure 4. Sharing enticement and personal information request
 

The first page of the phishing site asked users to verify their Facebook account. Users were then alerted that all information should be entered correctly. The second page of the phishing site displayed an image of a selection of Indian cell phone network operators. The phishing page stated that free airtime worth “Rs. 500” is available from the offer after following four additional steps. The steps were essentially to like, subscribe, share, and post the offer to at least 10 friends. Finally, in order to complete the process, the phishing site asked users for personal information including name, email address, cell phone number, network operator, and cellular zone. If any user fell victim to the phishing site, phishers would have successfully stolen personal user information for identity theft.

Users are advised to follow best practices to avoid phishing attacks:

  • Do not click on suspicious links in email messages
  • Do not provide any personal information when answering an email
  • Do not enter personal information in a pop-up page or screen
  • Ensure the website is encrypted with an SSL certificate by looking for the padlock, “https,” or the green address bar when entering personal or financial information
  • Use comprehensive security software such as Norton Internet Security or Norton 360, which protects you from phishing scams and social network scams
  • Report fake websites and email (for Facebook, send phishing complaints to phish@fb.com)