Tag Archives: online fraud

??????????????

      No Comments on ??????????????

贈り物を準備しながら、父親に感謝と親愛の気持ちを伝える日を指折り数えて待っている人も多いことでしょう。今年の父の日は 6 月 16 日です。先月は「母の日を悪用するスパムが今年も登場」と題するブログを公開しましたが、今度は父の日に向けて、Symantec Probe Network でスパムメッセージが検出され始めています。スパムメールのほとんどは、お買い得商品、偽アンケート、高級腕時計のコピー商品などでユーザーを誘おうとするものです。スパムメッセージに含まれている URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。

Figure1_1.png

図 1. ギフト広告スパム

Figure2_0.png

図 2. 父の日を利用した商品広告スパム

スパマーはいつでも無防備なユーザーの隙を狙い、偽広告で宣伝されている商品を購入するためと称して個人情報を入力させようとします。最近も、URL に .pw を含むスパムメッセージが増加していることをお知らせしたばかりですが、大きなイベントやフェスティバル、祝祭日の前後には、.pw のトップレベルドメイン(TLD)を含むメッセージの増加が今もなお確認されています。父の日スパムでは、URL に .pw を使った差出人として以下のような例が確認されています。

  • 差出人: “Personalized Father’s Day Gifts”(名前入りの父の日ギフト)<support@[削除済み].pw>
  • 差出人: Quick Father Gifts(お手軽な父の日ギフト)<cigarformen@[削除済み].pw>
  • 差出人: Cigars for Dad(お父さんに葉巻を贈ろう)<cigarformen@[削除済み].pw>
  • 差出人: Fathers Day Cigars(父の日の葉巻)<cigarformen@[削除済み].pw>

Figure3_0.png
図 3. 父の日を餌に利用した偽ディスカウントスパム

スパマーは、宣伝されている商品を偽のクーポンコードで購入できると誘い、「オリジナルと同じ素材を使用」などという売り文句でユーザーを欺きます。このスパム攻撃で使われているディスカウントコードは、dad[ランダムな数字] や father[ランダムな数字] などの形式で、父の日のセールを利用しようとするユーザーを誘導してリンクをクリックさせることを狙っています。

Figure4_0.png

図 4. 偽のディスカウント商品で誘うスパム

シマンテックでは、父の日にちなんだスパム量が増えていることを確認しています。次のグラフをご覧ください。

Figure5.png

図 5. 父の日スパムの件数の傾向

最近のスパム攻撃で使われている件名の例を以下に示します。

  • 件名: 15 Cigars for 29.95 (68% off Fathers Day sale!)(15 本入り葉巻が 29.95 ドル(父の日限定 68% オフ!))
  • 件名: The perfect gift for Fathers day only costs 32% of the original price!(父の日に最高のギフトが、元値のたった 32% !)
  • 件名: Regarding Father’s Day orders(父の日のご注文について)
  • 件名: Personalized Gifts for All The Dads In Your Life(お父さんに名前入りのギフトを)
  • 件名: Top Personalized Fathers Day Gifts(父の日の名前入りギフト)
  • 件名: Get relief from chronic spine conditions. Father’s Day Discount Available(慢性的な背中の痛みにさようなら。父の日ディスカウントあり)
  • 件名: Don’t forget your father(お父さんのことを忘れないで)
  • 件名: Don’t forget about your father(たまには、お父さんのことを思い出そう)
  • 件名: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card(父の日アンケートに答えて、25 ドル相当の xxx ギフトカードをもらおう)
  • 件名: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available(頸椎手術や脊椎に代わる内視鏡が登場。父の日の割引特典あり)

迷惑メールや心当たりのない電子メールを受信したときには、くれぐれもご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、父の日スパムの厳重な監視を続けています。

どうぞ、素晴らしい父の日を安全にお迎えください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???: ?????????????

      No Comments on ???: ?????????????

竜船祭は、端午節とも呼ばれ、中国をはじめとする東アジア各地で 2,000 年以上前から伝統的に祝われてきた重要な祝日です。人々はこの日、象徴的な一連の行事によって夏の伝染病や悪霊を追い払います。古来、夏というのは重い病気をもたらす病害虫や蛇、ノミの季節であると考えられてきたからです。

竜船祭の日には、竜船(ドラゴンボート)競技を開催するほか、蒸したもち米を竹の皮で包んだもの(ちまき)を食べる、薬用酒(雄黄酒)を飲む、生薬を使った香り袋を身に着けるなど、さまざまな伝統儀式があります。こうした行事の多くは商業的な要素を含んでいるため、スパマーもひと儲けするチャンスを抜け目なく狙っています。

今年は 6 月 12 日が竜船祭に当たっており、それに先立つ期間にシマンテックは、竜船祭に関係するスパムを大量に遮断しています。

dragon_boat_spam.png

図. 竜船祭にちなんだサンプルスパムメール

疑わしいリンクが掲載されている迷惑メールの扱いには、改めてご注意ください。終わることのないスパムの処理に閉口している方には、受信ボックスに届く前に迷惑メールを遮断する、シマンテックの最新のスパム対策製品をお勧めします。スパムに悩まされることなく、楽しい竜船祭をお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Scammers Take Advantage of Dance Grand Prix Europe 2013

Contributor: Vivek Krishnamurthi

The International Dance Competition “Dance Grand Prix Europe” is set to begin June 12 and will be hosted in Spain. The purpose of the competition is to showcase all the top dancers from various dance schools and this major event attracts choreographic talent from around the world. Spammers also don’t want to miss this event and the opportunity to circulate a scam.
 

image1_0.jpeg

Figure 1. Dance Grand Prix Europe 2013 spam
 

To grab the reader’s attention, the spam email reveals some appealing facts about the event along with “only a little fee” required but no additional charges for participation in the event. Clicking the URL will automatically redirect the user to a website containing a bogus offer.
 

dancescam-fake2.png

Figure 2. Pirated website looks like original, changed contact information (green box)
 

dancescam-real.png

Figure 3. Original and legitimate event website
 

Interestingly, to trick users into trusting the fake website, spammers also added a widget at the bottom left of the page that monitors online visitors and displays a random number of users online. The main motive of these spam campaigns is to lure recipients and acquire their personal and financial information. Users should be careful and avoid clicking the links.

Some of the subject lines observed in this spam campaign include the following:

  • Subject: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.
  • Subject: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.
  • Subject: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!

Symantec advises users to be cautious when handling unsolicited or unexpected emails related to the Dance Grand Prix Europe 2013 and to update antispam signatures regularly. Symantec also monitors spam attacks around-the-clock to ensure users are kept up to date on the latest threats.

Beware of Fake Gift Offers for Father’s Day

A lot of people are counting down the days until they can express their appreciation and love towards their dads by giving them gifts for Father’s Day, which is celebrated on June 16. Last month we published a blog called Spammers Continue to Exploit Mother’s Day, now it’s the turn of Father’s Day, as spam messages have started flowing into the Symantec Probe Network. Most of the spam emails attempt to encourage users to take advantage of product offers, fake surveys, and replica watches. Clicking the URL contained in the spam message automatically redirects the user to a website containing a bogus offer.

Figure1_1.png

Figure 1. Gift offer spam

Figure2_0.png

Figure 2. Product spam related to Father’s Day

Spammers will always try to take advantage of unsuspecting users by asking them to input personal information to avail of bogus offers for purchasing products. Symantec recently blogged about the rise of .pw URLs in spam messages and we are currently observing an increase in spam messages containing the .pw top-level domain (TLD) URLs in and around the times of major events, festivals, and holidays. Below are some examples of the From header, using .pw URLs, that have been observed in Father’s Day spam:

  • From: “Personalized Father’s Day Gifts” <support@[REMOVED].pw>
  • From: Quick Father Gifts <cigarformen@[REMOVED].pw>
  • From: Cigars for Dad <cigarformen@[REMOVED].pw>
  • From: Fathers Day Cigars <cigarformen@[REMOVED].pw>

Figure3_0.png
Figure 3. Fake discount spam using Father’s Day as a lure

Spammers invite users to purchase the advertised product with a bogus coupon code and make false promises such as claiming the “materials used are the same as original.” The discount codes used in the spam attacks, such as dad[RANDOM NUMBERS] and father[RANDOM NUMBERS], attempt to lure users into clicking a link in order to take advantage of the Father’s Day offer.

Figure4_0.png

Figure 4. Fake product discount spam

Symantec is observing an increase in spam volume related to Father’s Day, which can be seen in the following graph.

Figure5.png

Figure 5. Volume trend of Father’s Day spam

Below are some of the subject lines used in this latest spam campaign:

  • Subject: 15 Cigars for 29.95 (68% off Fathers Day sale!)
  • Subject: The perfect gift for Fathers day only costs 32% of the original price!
  • Subject: Regarding Father’s Day orders
  • Subject: Personalized Gifts for All The Dads In Your Life
  • Subject: Top Personalized Fathers Day Gifts
  • Subject: Get relief from chronic spine conditions. Father’s Day Discount Available
  • Subject: Don’t forget your father
  • Subject: Don’t forget about your father
  • Subject: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card
  • Subject: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available

Symantec advises users to use caution when receiving unsolicited or unexpected emails. We are closely monitoring Father’s Day spam attacks to ensure that users are kept up to date with information on the latest threats.

Have a safe and happy Father’s Day!

Dragon Boat Festival: Now Driving Away Spam Too

The Dragon Boat Festival, also known as the Duanwu Festival, is an important traditional holiday that has been celebrated by Chinese people as well as other people in East Asian societies for nearly 2,000 years. It is a day for people to drive away epi…

Malicious Dating, Ad Services Plague Japanese Users

In a previous blog McAfee Mobile Research reported on fraudulent adult dating-service applications on Google Play that target Japanese users. Many other suspicious applications are spreading on Google Play in Japan, and try to lure users to similar fraudulent sites. These suspicious applications have appeared on Google Play since May. They offer adult or nonadult Read more…

Fraudulent Adult Dating Services Turn 10 Years Old, Still Evolving

McAfee Mobile Research monitors adult one-click-fraud applications on Google Play that are targeted at Japanese users. Although the attackers appeared to have stopped uploading these apps in May, they have now resumed the attacks. We have confirmed about 600 malicious applications have been published since the beginning of April. We have also confirmed that another Read more…

???????????? Facebook ?????????

      No Comments on ???????????? Facebook ?????????

寄稿: Avdhoot Patil

フィッシング攻撃のプラットフォームとしてソーシャルネットワークサイトを集中的に利用する例が後を絶ちません。シマンテックでも、ソーシャルネットワークに関連したフィッシング攻撃を何度も確認しています。フィッシングの餌としては、有名人を利用した宣伝、偽のアプリケーション、無料の通話時間、懸賞などが多用されています。最近では、トルコの Facebook ユーザーを標的としたフィッシング攻撃で、トルコ警察が悪用された例があります。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

Phishers_Turkish_police.png

図. トルコ警察の正規の Web ページに見せかけたフィッシングサイト

このフィッシングサイトはトルコ語で書かれており、トルコの治安局長が所有者だと謳っています。さらに、トルコ警察が最近 Facebook アカウント情報の盗難を確認したため、Facebook の情報漏えい対策として Web サイトを作成したという説明が続きます。また、トルコの刑法に従って、ユーザーは正しい情報を入力する必要があり、ログイン情報を入力すれば、ユーザーアカウントの保護申請が警察に送信されると書かれています。

フィッシングページには、アンカラにあるトルコ警察本庁の名前と住所が記され、このメッセージはトルコ警察のセキュリティシステムから送信されたことになっていますが、言うまでもなく、フィッシングサイトはユーザーのログイン情報を盗み出す目的で作成されたものです。ログイン情報を入力すると、フィッシングページは正規の Facebook サイトにリダイレクトされます。

このフィッシング詐欺に引っかかってログイン情報を入力すると、詐欺師に情報を盗み出されてしまいます。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????????????????? Bitcoin

      No Comments on ??????????????????? Bitcoin

分散型のデジタル通貨 Bitcoin に対する関心が高くなっているのは確かです。しかし、注目を集めるものの常として、Bitcoin は詐欺師の関心も集めています。これまでの数年間に、Bitcoin ウォレットを盗むトロイの木馬がいくつか発見されています。また、Bitcoin マイナーをインストールするトロイの木馬も、もはや珍しくはありません。先週確認された例からも、犯罪者の Bitcoin に対する関心の高さがうかがえます。世界最大の Bitcoin 取引サイト Mt.Gox になりすましたフィッシングサイトについても報告されるようになっています。Mt.Gox に対する攻撃はすでに前例があります。たとえば、分散サービス拒否(DDoS)攻撃を受けたり、米国の捜査当局によって一時的に Mt.Gox の資金の一部が差し押さえられたりしたこともあります。

もちろん、フィッシングサイトのご多分にもれず、これは正規のサイトとはまったく無関係な偽の詐欺サイトです。詐欺師はセカンドレベルドメイン(SLD)名として “mtgox” を使うだけでなく、トップレベルドメイン(TLD)を変更して、たとえば .org、.net、.de、.co.uk などのドメインを使っています。詐欺サイトは、マルウェアをダウンロードしてインストールするようにユーザーを誘導します。このマルウェアには MTGOX_Wallet.exe というもっともらしいファイル名が付いており、シマンテックはこれを Downloader.Ponik として検出します。
 

z z.png

図 1. 別の TLD を使うフィッシングサイト
 

mtgox_phishing2.png

図 2. フィッシングサイト
 

このフィッシングサイトは、Microsoft の広告ネットワークなど代表的なオンライン広告サービスを利用した宣伝まで行っています。これも、できるだけ多くのアクセスを獲得するためで、詐欺広告が多くの有名サイトでも表示される結果になっています。

広告は、「New Century Gold: BITCOIN Protect your money – Buy Bitcoin(21 世紀のゴールド。BITCOIN があなたのお金を守ります – Bitcoin を購入しよう)」という宣伝文句でユーザーを誘っています。広告からリンクする詐欺サイトには、人のお金を守ること以外のありとあらゆるものが揃っていると考えれば、まったく正反対の広告です。

このフィッシングサイトでは一般的なセキュリティプロトコルである Secure Sockets Layer(SSL)が使われていません。その一点だけでも疑ってかかるには十分です。扱われている通貨の種類にかかわらず、どんな金融サービスでも、アクセス先が正規の Web サイトであることを確認してから情報を入力するように注意を払う必要があります。今回の場合は、フィッシングサイトの HTML 内にはさらに別の手掛かりも残されていました。好奇心の強いユーザーなら気づくかもしれませんが、正規サイトには記載されているパスワード変更の注意書きが隠されているのです。
 

mtgox_phishing_html-2.png

図 3. フィッシング詐欺師が書き換えた HTML
 

Mt.Gox をお使いの場合は、必ずパスワードを変更しアカウントを確認することをお勧めします。Mt.Gox でもメンバーの検証プロセスを強化し始めており、預け入れも引き出しも、検証済みのアカウントでしか行えません。Mt.Gox は、マネーロンダリング対策法を遵守するために最大限の努力を払っているように見えます。5 月に連邦検察官によって閉鎖に追い込まれた Liberty Reserve と同じ過ちを繰り返さないためでしょう。Bitcoin は分散型の P2P 構造になっているので、Liberty Reserve とは大きく異なり、またそれゆえに閉鎖することは難しいのですが、それでもサービスを保護するために万全を尽くすのはビジネスとして賢明でしょう。

シマンテックは最近、マルウェアにつながる広告をユーザーの目に触れる前に遮断するクラウドベースの Symantec AdVantage をリリースしました。Web サイトに広告を掲載しているサイト所有者に対しては、OTA(Online Trust Alliance)が推奨するマルバタイジング(悪質な広告)対策のガイドライン(英語)をお読みいただくことをお勧めします。OTA は、オンラインの信頼性を強化する一方、インターネットの革新性と活力を推進することをミッションとする非営利団体であり、シマンテックも OTA の創設メンバーです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Bitcoins Still a Hot Security Topic

Interest in Bitcoin—the decentralized digital currency—is definitely growing. But as with anything established, it also sparks the interest of scammers. We have seen a few Trojans stealing Bitcoin wallets over the last few years. Also, Trojans installing Bitcoin miners are not that exotic anymore. A case from last week shows how far interest has grown on the criminal side. Reports have emerged about phishing websites impersonating Mt.Gox, the largest Bitcoin exchange site. Mt.Gox has already fought battles in the past—for example when it was on the receiving end of a distributed denial-of-service (DDoS) attack and also when US authorities temporarily seized part of their money.

Of course, as with the nature of phishing websites, the real site has nothing to do with the fake scam site. The scammers just used the same second-level domain (SLD) name, “mtgox”, but with a different top-level domain (TLD)—for example, using .org, .net, .de, or .co.uk domains. The scam site tried to trick users into downloading and installing malware with the convincing MTGOX_Wallet.exe file name, which Symantec detects as Downloader.Ponik.
 

z z.png

Figure 1. Phishing website uses alternate TLD
 

mtgox_phishing2.png

Figure 2. Phishing website
 

The phishing websites were even advertised using more than one major online advertising service, for example Microsoft’s advertisement network, in order to reach as many victims as possible. This resulted in the scam ad being displayed on many prominent websites.

The ad enticed users by stating “New Century Gold: BITCOIN Protect your money – Buy Bitcoin”—a clever turn-about since the ad links to a scam site that has everything else in mind except protecting your money.

The fact that the phishing site does not use the common Secure Sockets Layer (SSL) security protocol should have been a clear giveaway for any visitor. As with any financial service, regardless of the currency behind it, people should pay due diligence to ensure they are on a real website when entering information. In this case, the scammers left an additional clue inside the HTML of the phishing website for the curious type: they hide the original site’s guidance to change passwords.
 

mtgox_phishing_html-2.png

Figure 3. Phisher-altered HTML
 

Symantec recommends all Mt.Gox users change their passwords and verify accounts. Mt.Gox has started to intensify the verification process of its members, allowing deposits or withdrawals only from verified accounts. They appear to be doing as much as possible to comply with anti-money laundry laws in order avoid the same fate as Liberty Reserve, which was shut down by federal prosecutors in May. Despite Bitcoin being substantially different to Liberty Reserve due to its decentralized peer-to-peer structure, and hence much harder to shut down, it is still good business practice to do as much as possible to ensure secure service.

Symantec has recently launched cloud-based Symantec AdVantage to help prevent ads that lead to malware from ever reaching customers. Website owners that include advertising on their websites should also check out the anti-malvertisement guidelines recommended by the Online Trust Alliance (OTA). The OTA is a non-profit organization with the mission to enhance online trust while promoting innovation and the vitality of the Internet. Symantec is a founding member of the OTA.