Tag Archives: Mail Security for Exchange/Domino

詐欺師がインターネットユーザーの気の緩みを狙うのは、特に驚くことでもありません。

シマンテックは、ホリデーシーズン後の数日間にわたって、新たにマルウェアが増加していることを確認しました。休暇が終わると、重要なメッセージを見逃していないかどうかを確かめるために、多くのユーザーがツールや電子メールを確認します。スパマーはそこを狙って、ユーザーが電子メール中の悪質なリンクをクリックすることに期待を掛けているのです。

今回の一連の攻撃では、スパマーはユーザーが緊急性の高い電子メールを開いて返信しようとするところを狙っています。実際にそうすると、マルウェアがユーザーのコンピュータに感染し、機密データが盗み出されてしまいます。

私自身も先週、有名なオンラインストアから送信されたように偽装した配達不能通知を受け取りました。休暇で留守にしていた間に、いくつか荷物を届けることができなかったという内容です。

最初は、何も注文していないのになぜこのような通知が届いたのかいぶかり、ひょっとしたら思いがけないプレゼントなのかもしれないと考えました。しかし、電子メール中のリンクをクリックする前にステータスバーを確認したところ、そのリンクは詐称されたもので、さらに電子メールで使われている言葉遣いや文法上の誤り（図 1 を参照）を見て、疑惑は確信に変わりました。

図 1. 文法上の誤りと悪質なリンクが含まれたスパムメール

同様に、スパマーが別の有名ブランドに偽装し、請求書に見せかけて悪質なリンクを埋め込んでいる電子メールも受け取りました。幸い、正規のブランドで使われているテンプレートとは違いがあり、偽装した電子メールのヘッダーはまったく無関係のものでした。さらに調べてみると、埋め込まれているリンクにはマルウェアが仕掛けられていました。図 2 に示すように、スパムには乗っ取られた URL が使われています。
 

図 2. 配達不能通知に見せかけた別のスパムメール

さらには、見ず知らずの人の葬儀に招待する電子メールも受け取ったことがあります。私はまず、その家族を知っていたか、または大学時代の友人だった、あるいは近所に住んでいたかどうか確認し始めましたが、そのうち電子メール中のリンクが悪質なものであることに気が付きました。

図 3. 葬儀を案内するスパムメール

こうしたスパムメールに対して、ユーザーは 2 つの方向からアプローチする必要があります。警戒しながら電子メールをふるいに掛けることと、詐欺師の間違いを見抜けるようになることです。

こういったスパムメールでは、文法上の誤りや、文構造の不備が多く、ある小売業者に偽装しておきながら電子メールヘッダーはその競合他社になっているといった偽装戦術の失敗も見受けられます。乗っ取られたドメインと URL を順々に使い回す手口も使われますが、それが偽装したブランドや企業と無関係という場合もあります。

ホリデーシーズン後の憂鬱な気分を乗り越える一方で、電子メールを扱う際には警戒を怠らず、休暇ぼけを詐欺師に悪用されないように注意してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

It is not surprising to see scammers exploiting the laxity of Internet users.

Symantec has observed another malware wave over the past few days following the holiday season, as many users check their utility and official emails post-vacation to see if they missed out important ones. This is where spammers take their chances that users will click on malicious links in their emails.

In this wave of attacks, spammers are taking advantage of users’ urgency to open a link and respond to the email instantaneously. When this happens, the malware infects users’ computers and extracts confidential data.

Last week, I too, received some delivery failure notification emails that claim to be from well-known stores with an online presence, stating that I missed out a couple of parcels while I was away on vacation.

At first, I wondered how it happened since I did not place any orders, and the thought that they might be surprise gifts also crossed my mind.

However, just before clicking the link, I checked the status bar only to find that the link had been spoofed. This raised my level of suspicion, which was further confirmed by the language and grammatical errors used in the email, as shown in the following figure:

Figure 1: A spam email with grammatical errors and a malicious link

Similarly, there was an email in which the spammer masquerades another well-known brand, making the message appear to be a statement, while embedding a malicious link.

Fortunately, there was a goof-up between the template used by the brand and the email headers which belonged to another email, with no association between both. Upon further inspection, it was found that the embedded link contained a malware.

The spam run also used a hijacked URL as shown in the following figure:
 

Figure 2. Another spam email on delivery failure

I bumped into another email which invited me to attend the funeral of someone I did not know. I began to check if I knew the family by any chance, or if it was a college friend, or a neighbor, but then discovered that the link in the email was malicious.

Figure 3: A spam email on a funeral notice

Such spam emails require users to adopt a two pronged approach–to be on guard while sieving through emails, and be able to see through the mistakes made by scammers.

Some of which could be a coercion to click on a link immediately, but they are full of grammatical errors, faulty sentence structures, tactical errors of spoofing one retail operator and associating the email headers with a competitor. Another tactic employed in such spams is the use of hijacked domains and URLs which are rotated and recycled over time, but have no association with the brands or entity.

While you are overcoming your post-holiday blues, Symantec recommends that you exercise diligence when dealing with your emails, and not let scammers exploit your vacation hangover.

寄稿: Binny Kuriakose

「Hello world（ハローワールド）」、当社はデジタル対応です。そんな謳い文句はもう過去の話になりました。今では、スピードに対する要求から超特急の対応が迫られています。なにしろ、ボタンをひとつクリックするだけで、望みの Web ページを瞬時に用意できる時代です。実際、インターネットがもたらすコスト効果の高いビジネスと世界的な事業展開を狙って、企業は次々と Web に移行しています。そうした傾向に舌なめずりしているのがスパマーです。スパマーにとって、何も知らない無防備な獲物だらけになるクリスマスほど最高の狩猟シーズンはほかにはありません。

スパマーは、クリスマスシーズンに展開されるビジネスを体系的に吟味してさまざまなカテゴリを利用しています。年の瀬に迎えるクリスマスシーズンの祝い方を 7 月初めという早い時期から計画する人向けの宿泊施設関連のスパムから、帰宅前に大慌てでショッピングに走る駆け込み組向けのスパムまで、実に用意周到です。

• クリスマス休暇を計画中の人々を狙った宿泊施設関連スパムには、次のような例があります。

差出人: Christmas Luxury <[name]@[domain].com>（特別なクリスマス <[名前]@[ドメイン].com>）
件名: A journey of Christmas luxuries（クリスマスに豪華なご旅行を）

図 1. 宿泊施設関連スパムのプレビュー

• 手持ち資金に不足している人々を狙ったスパムの例には、ナイジェリア詐欺タイプの宝くじ広告があります。電子メールのヘッダーは以下のとおりです。

件名: XMAS PROMOTION!!（クリスマス特集!!）
差出人: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>（”[ブランド名] JACKPOT COMPANY INC.” <[名前]@[ドメイン].com>）

図 2. 「ナイジェリア詐欺」タイプのスパムのプレビュー

• 何か心に残るギフトを贈りたいと考えている人々を狙ったスパムには、おもちゃやチョコレート、装飾品の偽広告の例があります。電子メールのヘッダーは以下のとおりです。

差出人: “[Brand name] giving an oil painting” <[name]@[domain].com>（”[ブランド名] から油絵を贈ります” <[名前]@[ドメイン].com>）
差出人: Christmas Luxury <mail@[domain].com>（特別なクリスマス <mail@[ドメイン].com>）
差出人: Chocolates Inquiry <mail@[domain].com>（チョコレートをお探しなら <mail@[ドメイン].com>）
差出人: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>（”ホリデーシーズンの装飾品” <Holiday.Ornaments@[ドメイン].com>）
件名: Exclusively Designed Christmas Ornaments（特別デザインのクリスマス装飾品）
件名: Delicious Christmas Chocolates !（おいしいクリスマスチョコレート!）
件名: ★ Attention Early Birds（注目の早期割引特典）
件名: A journey of Christmas luxuries（クリスマスの特別旅行）
件名: as a Christmas gift”[Brand name]（クリスマスギフトに “[ブランド名] はいかが）

図 3. 名前入りギフトスパムのプレビュー

• このクリスマスこそ高級腕時計やデザイナー商品を買いたいと思って早期から備えている人々を狙ったスパムの例には、各種の模造商品の投げ売り広告があります。電子メールのヘッダーは以下のとおりです。

差出人: “Early x-mas shopping” <[name]@[domain].com>（”早めのクリスマスショッピング” <[名前]@[ドメイン].com>）
件名: [Brand name] Smart Phone Clearout. 55% off MSRP（[ブランド名] のスマートフォンを在庫一掃。メーカー希望小売価格の 55% オフ）
件名: Thinking about Christmas?（クリスマスのご予定はもうお考えですか）
差出人: “[Brand name]” <[name]@[domain].com>（”[ブランド名]” <[名前]@[ドメイン].com>）
件名: ★ Attention Early Birds（注目の早期割引特典）
件名: Great for Christmas（クリスマスに最適）
差出人: “Join us AT “[Brand name]” <[name]@[domain].com>（”ご一緒に “[ブランド名]” はいかがですか<[名前]@[ドメイン].com>）
件名: Christmas coming soon!! . Are you ready for the hot selling reason.（クリスマスはもうすぐ!! 大ヒット商品のそのワケを知るチャンス）
差出人: “[Brand name] <[name]@[domain].com>（”[ブランド名] <[名前]@[ドメイン].com>）

図 4. 模造品スパムのプレビュー

図 5. 各種商品関連スパムのプレビュー

• クリスマスを美しく迎えたいと思っている人々を狙ったスパムの例には、今すぐ痩せると謳うダイエット関連広告があります。電子メールのヘッダーには、以下のようなおなじみの煽り文句が使われています。

件名: BY Christmas Drop 23lbs（クリスマスまでに 10kg 減量）
件名: Look 23lbs thinner Christmas（10kg スリムになってクリスマスを迎えましょう）
件名: Did you see me on television Thursday?（木曜日のテレビはご覧になりましたか?）
差出人: “[Brand name]” <[name]@[domain].com>（”[ブランド名]” <[名前]@[ドメイン].com>）

図 6. 医薬品関連スパムのプレビュー

• いつまでも若い人々は、次のようなヘッダーの出会い系スパムに狙われているかもしれません。

差出人: “Date Someone” <[name]@[domain].com>（”デートの相手を探そう” <[名前]@[ドメイン].com>）
差出人: “Senior Dating” <[name]@[domain].com>（”シニア専用出会い系” <[名前]@[ドメイン].com>）
件名: Find a hot Christian this Christmas in your area（今年のクリスマスは、お近くでホットな出会いを）
件名: Find a local love to cuddle with this Christmas（今年のクリスマスは、地元で見つけた恋人を抱きしめよう）

図 7. 出会い系スパムのプレビュー

• お子さんにサンタクロースからの名前入り特製手紙が届くと称するアンケートもあります。電子メールのヘッダーは以下のとおりです。

差出人: Santa <Santa@[domain].com>（サンタ <Santa@[ドメイン].com>）
件名: Letters from Santa for your child（サンタからお子様への手紙）

図 8. 子ども向けの名前入りギフトカードスパムのプレビュー

図 9. クリスマススパムの件数を示した円グラフ

全体的に今年のクリスマススパムはテーマの範囲が広いようです。目的は、魅力的な謳い文句で好奇心をくすぐり、リスクの高い行動に至るユーザーや、安全ではないシステム、中途半端なソリューションを悪用することにあります。スパマーの関心は依然として、あらゆる人々の傾向を十分に理解して悪用し、ユーザーを誘導して重要な情報を引き出したり、怪しい Web ページにアクセスさせたりすることに集中しています。

電子メールの細かい部分に注意を払いながら、以下の点に注意してそれが正規のものかどうかを判断してください。

• これまでに登録した、または登録を解除した覚えのあるサービスですか。
• 同様の手口に引っかかってしまった友人から転送された電子メールではありませんか。
• 電子メールの差出人、送信状況、内容は本物ですか。

ホリデーシーズンに電子メールを経由してオンラインで商品を購入する場合には、十分に警戒することをお勧めします。シマンテックは、マルウェアやスパムを遮断する保護対策を提供していますが、皆さんもウイルス対策のシグネチャを定期的に更新して、最新の脅威から身を守るようにしてください。保護対策を怠らず、けっして無制限に個人情報を公開しないようにしてください。

安全で楽しいクリスマスをお過ごしください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Contributor: Binny Kuriakose

‘Hello world’ we are digital! Well that was ages ago. Today the need for speed has made us extra fast. A click of a button and the desired webpage is up and running in an instant. In fact, organizations are switching to the Web because of cost effective business and global presence the Internet provides. This phenomenon has made predators smack their lips. What better environment to make a kill than Christmas, with the unaware and the vulnerable abound!

With a systematic study of business done during Christmas, spammers have leveraged a plethora of categories since early July, ranging from hospitality-related spam for those who plan early on how to celebrate Christmas later in the year, to last minute shoppers who scramble to buy gifts before rushing home. Now, that is a well-planned spread.

• For the vacation planner, there is a hospitality-related spam, with headers reading:

From: Christmas Luxury <[name]@[domain].com>
Subject: A journey of Christmas luxuries

Figure 1. A preview of hospitality spam

• For the one in need of cash, there is the odd Nigerian type lottory promotion. The email header reads:

Subject: XMAS PROMOTION!!
From: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>

Figure 2. A preview of a Nigerian-type spam

• For those intending to gift something memorable, there are blocks, chocolates and ornaments to gift. The emails have the following headers:

From: “[Brand name] giving an oil painting” <[name]@[domain].com>
From: Christmas Luxury <mail@[domain].com>
From: Chocolates Inquiry <mail@[domain].com>
From: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>
Subject: Exclusively Designed Christmas Ornaments
Subject: Delicious Christmas Chocolates !
Subject: ★ Attention Early Birds
Subject: A journey of Christmas luxuries
Subject: as a Christmas gift”[Brand name]

Figure 3. A preview of personalized gifts spam

• For the early birds who prefer to buy watches and designer products this Christmas, there are a range of replica products at throw away prices with the following email headers:

From: “Early x-mas shopping” <[name]@[domain].com>
Subject: [Brand name] Smart Phone Clearout. 55% off MSRP
Subject: Thinking about Christmas?
From: “[Brand name]” <[name]@[domain].com>
Subject: ★ Attention Early Birds
Subject: Great for Christmas
From: “Join us AT “[Brand name]” <[name]@[domain].com>
Subject: Christmas coming soon!! . Are you ready for the hot selling reason.
From: “[Brand name] <[name]@[domain].com>

Figure 4. A preview of a replica spam

Figure 5. A preview of product spam

• For those who intend to get in shape for Christmas, there are weight-loss related spam that claim to get you thinner instantly! The headers have the typical enticements as shown below:

Subject: BY Christmas Drop 23lbs
Subject: Look 23lbs thinner Christmas
Subject: Did you see me on television Thursday?
From: “[Brand name]” <[name]@[domain].com>

Figure 6. A preview of medicine-related spam

• For the young at heart, there is dating spam with the following headers:

From: “Date Someone” <[name]@[domain].com>
From: “Senior Dating” <[name]@[domain].com>
Subject: Find a hot Christian this Christmas in your area
Subject: Find a local love to cuddle with this Christmas

Figure 7. A preview of dating spam

• For your kids, there are personalized surveys with Santa’s greetings, specially crafted for your needs. The email header reads:

From: Santa <Santa@[domain].com>
Subject: Letters from Santa for your child

Figure 8. A preview of personalized spam email for kids

Figure 9. A pie chart depicting Christmas spam volume

Overall, the spam panorama this Christmas looks pervasive. The aim is to harness curiosity laced with fantastic offers that can exploit unhealthy user practices, unsecured systems and half-baked solutions. The focus of spammers continue to be on how to best understand and exploit human tendencies and then to entice users to either compromise sensitive information or visit a dubious webpage.

Symantec advises users to pay attention to details while judging the genuineness of the mail by considering the following:

• Did you subscribe or unsubscribe to such offers in the past?
• Is it one of those forwarded mails a friend has been ensnared into?
• Is the sender, the context and content of the mail authentic?

We encourages users to be alert during this festive season while dealing with online offers through emails. Symantec has protection in place to stop malware and spam and advise users to regularly update antivirus signatures to stay protected from latest threats. Protect yourself and limit the amount of your personal information on the public domain.

Symantec wishes you a safe and merry Christmas.

ロシア語のスパムに見られる最新の傾向として、スパマーは一攫千金話の手口を使い始めています。今回のサンプルでは、バイナリオプション取引で簡単にお金が儲かるという謳い文句が使われています。

シマンテックが確認したサンプルには、人目を引く件名を使うという典型的なスパムの特徴が見られます。毎月膨大な金額を稼いでいる人がいると煽って、スパムを受け取ったユーザーの注意を引きつけようとしています。

このスパムは、ロシアで最大の無料電子メールサービス mail.ru から送信されており、アカウント名は、件名に関連している人物の年齢を示唆しています。ヘッダーを翻訳すると次のような内容です。

件名: $3700 a month – this retiree making more than you?（毎月 3700 ドル。定年退職しているのに、あなたより稼いでるって?）
差出人: pensioner.vladimir @mail.ru

これは特に、多くの人々が散財しがちなホリデーシーズンには巧妙な手口です。

図. 年金生活者が大金を稼いでいると謳うスパムメールのサンプル

電子メールの本文には、サマラ地区の年金生活者がバイナリオプションを使って膨大な収入を得ているという広告が掲載され、詳しいことを知りたい場合はハイパーリンクをクリックするように書かれています。リンク先は実際には乗っ取られたドメインであり、2008 年に maxuz.com という Web デザイン会社によって登録されたものでした。このドメインは、主に他のドメインへのリダイレクトに使われています。binarytraders.ru という別のドメインはもっと新しく、2013 年 8 月に登録されたばかりです。この手のスパム専用に作成されたと思われます。このドメインのメインページには、バイナリオプション取引の魅力が書かれ、詳しい手順を説明するビデオも紹介されています。そのうえで、バイナリオプションは今インターネット上で利用できる最も有利な金儲けの手段であると付け加えています。

シマンテックはこのスパムを遮断していますが、ユーザーの皆さんもクリスマスシーズンにはいつも以上に警戒し、一攫千金話の手口にはくれぐれもご注意ください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

The latest trend in Russian language spam shows that spammers have started promoting MMF (Make Money Fast) schemes where money can easily be made with the use of Binary Options trading.

The sample observed by Symantec has the usual, spam traits including a “catchy” subject which highlights a large sum of money someone is making every month, to grab the attention of spam recipient.

The spam is sent from mail.ru, the largest free email service in Russia, with the account name stating the age of the person linking it to the subject line. The header is as followed when translated into English: 

Subject: $3700 a month – this retiree making more than you?
From: pensioner.vladimir@mail.ru

This is quite a good trick especially before the festive season when many people are stretched with finances.

Figure. A sample of spam email which highlights a pensioner making a lot of money

The body of the message advertises Samara region pensioner’s high income made with the help of Binary Code, and the user is then asked to click on hyperlink to get more information. The hyperlink is in fact a hijacked domain, registered in 2008 which belongs to web design company maxuz.com. It is mainly used for redirection to another domain.

The other domain named binarytraders.ru is registered more recently in August 2013 and is likely to have been created specifically for this kind of spam. The domain’s main page has a list of advantages on why one should be involved in Binary Code trading along with a video with full instructions. It also adds that Binary Options is currently the biggest money making tool available on the internet.

Symantec has blocked this spam, but we wish to remind users to be more alert this Christmas season and beware of quick money schemes.