Tag Archives: Hosted Mail Security

?????????????????

      No Comments on ?????????????????
フィッシング詐欺師がフィッシング用のサイトを本物のサイトとそっくり同じに偽装しようとすることは、よく知られています。JavaScript を使って静的なページに現在の日付を埋め込むなど、これまでにも多種多様な手口が確認されています。シマンテックは最近、汎用的なフィッシングメールが増えていることを発見しました。通常のフィッシングでは標的を想定するのが普通ですが(銀行の顧客、ソーシャルネットワークのユーザーなど)、汎用的なフィッシングメールの手口は少し変わっています。それは、相手を問わず任意の電子メールアドレスを標的にするということです。
 
たいていの場合、この汎用的なフィッシングメールでは、受信ユーザーのメールボックスが容量の上限を超えたとして、電子メールの消失を避けるために至急メールボックスを「再有効化」するよう指示します。先日シマンテックが特定した汎用的なフィッシングメールの Web サイトも、一見すると正規のサイトのようです。素人仕事のような外見(フィッシング詐欺師がデザインスキルに乏しく、プロの手によるサイトを真似られないことの証です)ではあるものの、ある意味では際立っています。背景が魚の絵のパターンになっているからです。
 
phish_site_with_fish_600px.jpg
図. 汎用的なフィッシング Web サイトの背景に描かれた魚のパターン
 
特にこの背景を選んだフィッシング詐欺師の意図はわかりません。たまたま起きた残念なミスかもしれませんし、フィッシング詐欺師の内輪だけで通じるジョークなのかもしれません。あるいは、これが本当はフィッシングサイトであると、意味のわかるユーザーにだけ通じる大胆で露骨なヒントのつもりとも考えられます。それとも、サイトの一部がイタリア語で書かれていることから、この詐欺師は「フィッシング(phish)」と「魚(fish)」が類似していることを知らなかったのでしょうか。
 
フィッシング詐欺から保護するために、アカウントが制限されているなどと理由をつけて更新の必要性を訴えるようなメッセージには注意してください。また、セキュリティソフトウェアは常に最新の状態に保つようにしてください。Symantec.cloudSymantec Messaging Gateway をお使いの方は、こうした脅威から保護されています。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Would You Like Some Fish with That Phishing Site?

      No Comments on Would You Like Some Fish with That Phishing Site?
Phishers are known for making their phishing sites look exactly like the sites they are spoofing. We have seen plenty of examples of the detail they employ, like using JavaScript to include the current date in their static pages. In recent times, Symantec have seen an increase in generic email phishing. Unlike normal phishing, where phishing messages usually have a target in mind (bank customers or social network users, for instance), the generic email phishing technique is slightly different. In generic email phishing, the phishers will target any email address; who the target is does not matter.
 
These generic phishing messages usually claim that the recipient’s mailbox size has been exceeded, and direct them to urgently “re-validate” their mailbox to prevent disruption to their email. Symantec recently identified a generic email phishing website which, at first glance, appeared normal. It looked fairly amateurish—demonstrating phishers’ poor design skills when they don’t have a professional site to rip off—but the site was strikingly unusual for one reason: it had a fish pattern background.
 
phish_site_with_fish_600px.jpg
Figure. Generic phishing website with fish pattern background.
 
We are not sure exactly why phishers decided to use this particular background. Was it a random, unfortunate mistake? An inside joke among fellow phishers? Or perhaps a brazen but not-so-subtle hint to experienced users that it was actually a phishing site? Perhaps—since the site is partially in Italian—the phishers were unaware of the similarity between “phish” and “fish”?
 
To protect yourself from phishing scams, be wary of messages claiming that your account has been restricted or somehow needs to be updated. Keep your security software up to date. Symantec.cloud and Symantec Messaging Gateway customers are protected from these threats.

??????????????????????

      No Comments on ??????????????????????

寄稿: Binny Kuriakose

シリア危機を私利私欲のために悪用するスパムが後を絶ちません。赤十字社から送信されたように偽装した詐欺メッセージを利用するほか、シリアのニュースを扱った電子メールも悪用されています。スパマーは、ランダムな URL を含む悪質なメッセージを仕掛けて、危殆化した悪質な Web サイトにユーザーを誘い込もうとします。この Web サイトには不明瞭化された JavaScript コードがホストされており、そのコードによってトロイの木馬 Downloader.Ponik がダウンロードされます。

Downloader.Ponik が実行されると、以下のファイルが作成されます。

  • %TEMP%\[ランダムな文字のファイル名].bat
  • %UserProfile%\Local Settings\Application Data\pny\pnd.exe

これらのファイルが、ペイロードである悪質な実行可能ファイルをインジェクトすると、攻撃者はパスワードや重要な情報を盗み出せるようになります。

電子メールの件名は、メッセージの本文とまったく無関係な内容です。

Completed: Please DocuSign this document : Confidential Company Agreement 2013..pdf(完了: この文書に DocuSign で署名してください: Confidential Company Agreement 2013..pdf)

電子メールの本文には以下のようなデータが含まれ、「http://xxxxx.xxx.xx/xxxxx/index.html」というパターンで URL が埋め込まれています。

Syria email 1 edit.png

図 1. スパムメールの内容

ほとんどの攻撃で悪用されているのは、ユーザーのコンピュータでまだ更新されていない、またはパッチが適用されていない脆弱性です。ソフトウェアとウイルス対策定義は常に最新の状態に保つことをお勧めします。また、疑わしいリンクをクリックしたり、送信元の不明なファイルを開いたりしないようにしてください。

シマンテックでは、スパマーから送信されるこのような攻撃から保護するために、定期的にセキュリティ更新を提供しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers Setup Fake Surgical Strikes on Syria

      No Comments on Spammers Setup Fake Surgical Strikes on Syria

Contributor: Binny Kuriakose
Spammers continue to leverage the crisis in Syria for their personal gain. Besides taking advantage of a scam message that claimed to be from The Red Cross, spammers are now taking advantage of emails about the news in Syri…

?????????????????????

      No Comments on ?????????????????????

寄稿: Sujay Kulkarni

image1_9.png

ジ・アッシズ(The Ashes)は、イングランド代表とオーストラリア代表の間で競われるクリケットのテストマッチとして人気の高いシリーズです。両国の間で最も古いテストマッチであり、イングランドとオーストラリアで 1 年ごとに交互に開催されます。クリケットファンであれば、この注目のシリーズを観戦するためにテレビとインターネットに釘付けになっていることでしょう。

現在のところイングランドが 3-0 でリードしていて、最後のテストマッチでイングランドが快勝することになれば(実現しそうです)、対オーストラリア戦における転換点になるでしょう。とはいえ、今話題になっているのは、スコールズ(Scholes)、キャリック(Carrick)、ロビン・ファン・ペルシ(Robin Van Persie)といったサッカー選手ではなく、打倒オーストラリアをもくろむキャプテンのアラステア・クック(Alastair Cook)と彼が率いる精鋭チームです。

この興味深いシナリオを悪用しようと、詐欺師が待ち構えています。詐欺師は、あなたの電子メールアドレスが「2013 年アッシズシリーズで 242,500,000 ドルに当選(242,500,000 USD in the 2013 ASHES SERIES)」したと称して、個人情報をメールで送信させようとします。

詐欺の手口としてユーザーに求められるのはただ 1 つ、詐欺師に個人情報を返信することだけです。それだけで、後は詐欺師の思いのままになるというわけです。

これは典型的な 419 スパムです。電子メールの中で詐欺師は、あなたが抽選に当たった(たとえば、50,000 ドルの賞金が当たった)と説明し、それを受け取るために今すぐ個人情報を返信するようにと要求してきます。

シマンテック製品をお使いのお客様は、安全対策として以下の予防措置をお守りください。

  • オペレーティングシステムのパッチが公開されたらすぐに適用する。
  • ウイルス対策定義を定期的に更新する。
  • 送信者や件名に覚えがない迷惑メールは開かないようにし、疑わしい添付ファイルもクリックしないようにする。
  • 迷惑メールを扱うときは、不明な相手に個人情報を送信しないよう特に注意する。

詐欺師の攻撃に不意を突かれないよう注意しながら、今年のアッシズシリーズをお楽しみください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammer’s Googly Over Ongoing Ashes Series

Contributor: Sujay Kulkarni

image1_9.png

The Ashes Test cricket series, one of most popular Test series in cricket, is played between England and Australia. It is played alternately in England and Australia and is the oldest test rivalry between these two sides. Cricket fans are glued to the TV and their online devices to watch this riveting series.

In the current Ashes series England is leading 3-0 and is on the cusp of creating history against Australia—if they beat them hands down in the last test match, which now is a real possibility. However, what is making the rounds is not Scholes, Carrick, or Robin Van Persie, but Captain Cook and his elite squad waiting to steamroll Australia.

This interesting scenario has got scammers smacking their lips. They have come up with a trick to lure you into sending them your personal information over email because your email address has won  “242,500,000 USD in the 2013 ASHES SERIES”.

Here is the catch, you have one obligation to fulfill by replying back to the scammer with your “personal details”. Well, that would set the ball rolling for the scammer, wouldn’t it?

In a typical 419 spam, the scammer mentions in the email that you have won—an award of $50,000 USD for example—and asks you to reply back with your personal details, immediately to claim the money.

Symantec customers should take the following precautionary measures to stay safe:

  • Update operating system patches when prompted
  • Update the antivirus patches regularly
  • Do not open any unsolicited emails when you do not recognize the sender or the subject and avoid clicking on suspicious email attachments
  • When dealing with unsolicited mails avoid sending any personal details, especially to unknown persons

Enjoy the ongoing the Ashes Test cricket series without getting bowled over by any Spammer’s googly.

????????????????

      No Comments on ????????????????

怪訝に思われるかもしれませんが、株関連のスパムの増加は、経済回復の確かな兆しの 1 つです。こういったスパムは、経済が回復してくると真っ先に表れるものです。その証拠に、最近届いたメールを確認してみてください。迷惑メールフォルダには、「一世一代のチャンス」を謳うこの種のスパムがいくつも届いていることでしょう。経済回復の兆候が見られるたびに、大切なお金を騙し取ろうとする悪質なスパムが必ず現れます。

株関連のスパムは何年にもわたって進化してきました。ある組織によって株価が急騰すると謳って特定の株を買わせようと心理的に誘導する手法はますます巧妙になっています。株関連のスパムは不当に切迫感を煽り、最後には必ず儲かると約束します。

株関連のスパムは「パンプアンドダンプ」と呼ばれる戦略を用いています。スパマーは擬似的に投機熱を作り出し、一晩で大儲けできると誘ってペニーストック(安値の小型株)への投資を誘います。多くの人間が持っている金銭欲につけ込むのです。

このようなスパムメールが何百万通もばらまかれると、当該株の株価は急騰し、その後大幅に下落します。そして後には多くの投資家たちが取り残されます。投機熱が上がると、今度は一転して当該株は売られ、低株価に戻ります。つまり、株価の操縦者は、高値で買わされた投資家よりも多くの利益を得ることになります。

スパムの観点から言えば、誇大な宣伝をして、荒稼ぎしたら姿を消すという手口は変わっていません。社会政治的な状況も踏まえて体系的に行われます。

メールの件名は、スパムフィルタをすり抜けるために若干の変更を加えつつ使い回されます。株関連のスパムに使われる件名の例を以下に示します。

  • I would love this stock to fill in gap…(この株で穴埋めができる…)
  • A Sleeping Giant May Have Been Awoken!(眠れる巨人が目を覚ましたかも!)
  • IT MAKES A MOVE!(動きあり!)
  • NEW Pick Out at Midnight!(真夜中の新規有望株!)
  • This Stock is my new NASDAQ alert! This thing can fly!(NASDAQの新規注目株! これは買い!)
  • Decoded: Don’t Risk Missing an Issue(解説: 損するリスクはありません)
  • We`re going to see some xtreme moves this week(今週大きな動きあり)
  • A bottom buster rocket this morning(今朝の株価急騰)
  • The Only Way To Make Reliable Monthly Income From The Stock Market!(株式で確実に儲ける唯一の方法)
  • This Company is our New “First-Class” Alert! Don`t Miss Out!(この会社は新たな大注目株! お見逃しなく!)

メールの本文には、対象株に関する概要と銘柄コードが含まれています。銘柄コードは、通常、不明瞭化されています。

StockSpamFigure.png

図. 株関連のスパムメールサンプル

では、このようなスパムにどのように対処すればよいでしょうか?

この種のスパムメールが受信ボックスに届いても、決してだまされないように注意してください。うますぎる話には必ず裏があることを忘れないでください。

スパム対策のシグネチャは定期的に更新することをお勧めします。シマンテックではこのようなスパム活動を厳重に監視しており、この傾向の監視を続けて読者の皆様に最新の情報をお届けする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Stock Spam: A Sign of Economic Recovery?

It may sound strange, but one surefire sign that the economy is on the mend is an increase in stock spam. Yes, stock spam is a bellwether signal of an economic revival and if you want proof, check your email. Scattered in your bulk folder, you may find a myriad of such spam promising you ‘an opportunity of a life time.’ Rearing its ugly head every time there is a hint of an economic recovery, stock spam never misses an opportunity to try and con victims out of their hard-earned cash.

Over the years, stock spam has evolved, honing its method of psychologically hustling a victim into buying a particular stock that will ‘imminently’ be pumped up by some sort of syndicate. Stock spam creates an unwarranted urgency and promises a pot of gold at the end of it all.

Stock spam relies on a strategy called ‘pump and dump,’ where spammers create pseudo hysteria, beckoning victims to invest in penny or sub-penny stocks that would give astronomical returns overnight. It takes full advantage of a widespread human trait, greed.

After millions of these spam emails are dispersed, the stock in focus suddenly increases in value and then falls drastically, leaving investors stranded. Stocks are then dumped after creating hysteria and subsequently bought back at a lower price, which means more profit for the manipulators rather than those invested who are trapped at higher levels.

From a spam perspective, the modus operandi has been constant – create hype, make a profit, then disappear into oblivion! This is done systematically, keeping the sociopolitical situation in mind.

The subject lines used are altered and recycled with a few cosmetic alterations in order to evade spam filters. The following are some sample subject lines used in stock spam:

  • I would love this stock to fill in gap…
  • A Sleeping Giant May Have Been Awoken!
  • IT MAKES A MOVE!
  • NEW Pick Out at Midnight!
  • This Stock is my new NASDAQ alert! This thing can fly!
  • Decoded: Don’t Risk Missing an Issue
  • We`re going to see some xtreme moves this week
  • A bottom buster rocket this morning
  • The Only Way To Make Reliable Monthly Income From The Stock Market!
  • This Company is our New “First-Class” Alert! Don`t Miss Out!

The email body contains some brief information on the targeted stock and its trading ticker ID (which is usually obfuscated).

StockSpamFigure.png

Figure. Sample stock spam email

So, what’s the best practice here?

The next time you see unsolicited emails cluttering your mailboxes, make sure that you don’t fall for this type of scam. Remember, if something sounds too good to be true, it usually is!

Symantec advises users to update their antispam signatures regularly. We are closely monitoring these spam campaigns and will continue monitoring this trend to keep our readers updated.

 

To the pilot who knows no storm! Thanks Samir.

URL ? .pw ???????????????????????????

      No Comments on URL ? .pw ???????????????????????????

URL に .pw を含むスパムメッセージの増加については、これまでにも何度か(4 月の記事5 月の記事)このブログでご報告しました。

その後、URL に .pw を含むスパムの量は大幅に減少しています。.pw ドメインのスパムは 5 月初めがピークで、全スパム URL のほぼ 50% を占めていましたが、最近の 7 日間では 2% 足らずです。

Figure1_6.png

図 1. トップレベルドメイン(TLD)に .pw を含むスパムメッセージの変化

.pw ドメインを使ったスパムが減少したのは、シマンテックと Directi 社が連携して、スパムに関係する .pw ドメインの報告と停止を続けた結果です。

Symantec Global Intelligence Network の最近のデータによれば、.pw ドメイン(元々はパラオを表す国別トップレベルドメインでした)の比率がこれほど小さくなっても、.pw を使うスパマーは諦めずに新たな手口を使い始めています。世界中の最新ニュースに目を光らせ、最新ニュースの見出しをドメイン名に変換しているのです。

そうした例のひとつが babykingishere.pw というドメイン名で、これはパナマの登録者が 7 月 24 日に登録したものです。スパマーが選んだこの名前は、英国から届いたお世継ぎ誕生という大きなニュースに由来しています。全世界がご生誕を祝うなか、スパマーがそのニュースを利用しようとしたのは明らかです。

これまでのところ、このスパムドメインは一撃離脱タイプのスパム攻撃で確認されています。このタイプのスパムに見られる大きな特徴は「使い捨て」ドメインを使っていることで、babykingishere.pw ドメインがまさにそれです。

babykingishere.pw ドメインを使う一撃離脱スパムで確認された差出人のサンプルを以下に示します。

  • 差出人: “Cable Internet”(ケーブルインターネット)<CableInternet@babykingishere.pw>
  • 差出人: “Medical Billing and Coding Education”(医療費請求とコーディング教育)<MedicalBillingandCodingEducation@babykingishere.pw>

Figure2_3.png

図 2. babykingishere.pw ドメインを含むリンクの記載されたスパムメッセージの例

どちらのサンプルも現在、シマンテックの IP 評価とコンテンツフィルタリングによって遮断されています。シマンテックは、.pw ドメインと「ロイヤルベビー」スパムを引き続き監視する予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????????

      No Comments on ???????????????????????

シマンテックは過去数カ月の間に、正規の Google 翻訳サービスを使ってスパム対策フィルタをすり抜けようとする、医薬品関係のスパム攻撃を確認しています。

受信されたサンプルのほとんどは、人気の高い無料メールサービスで乗っ取られた電子メールアドレスから送信されたものでした。
メッセージの件名の大半は、オンライン医薬品販売や、バイアグラ、シアリスといった有名な錠剤を宣伝しています。また、スパムフィルタへの対策として、英語以外のランダムな文字や単語が件名の先頭または末尾に挿入されている例も確認されています。

Figure1_4.png

図 1. 件名のサンプル

メッセージの本文には、Google 翻訳へのリンクと、Web サイトで医薬品を注文することのメリットを説明した広告文が記載され、ディスカウント用のコードが書かれている場合もあります。

Figure2_2.png

図 2. スパムメッセージのサンプル

リダイレクトの仕組みは、かなり複雑です。リンクをクリックすると、リンクに埋め込まれた 2 番目のアドレスが Google 翻訳で取得され、そこから医薬品 Web サイトにリダイレクトされます。

確認されたサンプルの場合、最終的なリンク先は以下の医薬品サイトでした。

  • [http://]www.magic-pharm.com

以前のスパマーは、リンクの 2 番目の部分(リダイレクトリンク)に無料 Web や URL 短縮サービスを使うのが一般的でしたが、最近では IDN ドメイン名を使ったトップレベルドメイン、特にキリル文字の .рф ドメインが利用されています。リダイレクトリンクの中では、キリル文字のドメインは Punycode で表されています。

スパムメールで表示されるリンクは、たとえば以下のような形式になっています。

  • [http://]www.google.com/t%72ans%6C%61%74e_p?hl=%65%6E&u=pnfd.fr.%78n–8%%330%61%66%61f0asd%62%63g.%78n-p1a%69/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI+.aspx

Windows-1251 でデコードすると、以下のようになります。

  • [http://]translate.google.com/translate?hl=en&u=http://pnfd.fr.xn--80afaf0asdbcg.xn--p1ai/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI%2520.aspx

Punycode でデコードすると、以下のようになります。

  • [http://]translate.google.com/translate?hl=en&u=[http://]pnfd.fr.конггандон.рф/ipf24aeAGzLC8vs0zJMzA3NDQ0NzAEACbKBDs .aspx

シマンテックは、Google 翻訳を利用したリダイレクトスパムの大多数の亜種を安全に遮断しており、Google 翻訳サービスがスパムメールで悪用されている他のケースについても厳重な監視を続けています。この悪用は今のところ、スパム活動に使われているだけで、マルウェアの拡散に使われている例はまだ確認されていません。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。