Tag Archives: online fraud

Twitter ?? 100 ????????????????????

      No Comments on Twitter ?? 100 ????????????????????

先日のスーパーボウルで話題になった Esurance 社のコンテストへの参加者を狙って、詐欺師はさっそく攻撃を仕掛けています。スーパーボウル終了直後に CM を放映した同社は、#EsuranceSave30 というハッシュタグを使って投稿した Twitter ユーザーの中から抽選で 1 名に 150 万ドルを進呈すると発表しました。シマンテックセキュリティレスポンスはその直後から、このコンテストに対する注目度の高さを利用する目的で Esurance 社の偽 Twitter アカウントが大量に作成されていることを確認しました。

偽 Twitter アカウントの多くは、Esurance 社のブランド名のバリエーションとロゴを使って、同社と正規に関連しているように思わせていました。偽アカウントでは、以下のような Twitter 名が使われています。

  • EsuranceWinBig
  • EsuranceGW
  • Essurance
  • Esurrance
  • Esurnace
  • Esuranc

ロゴと画像を使って Esurance 社のアカウントに見せかけようとしているアカウントはほかにもありますが、名前はブランドと無関係です。たとえば @HeIpfulTips というアカウントがあります。この「HeIp」の中の「I」は小文字の「エル」ではなく大文字の「アイ」です。

2012 年 12 月に作成されたこのアカウントは、数千人のフォロワーを集めていますが、コンテスト中に「アカウントピボット」を実行しました。アバター、プロフィール、ヘッダー画像を変更して、Esurance 社のコンテストの一環であるかのように見せかけたのです。このアカウントにはさらに数千人のフォロワーが増え、コンテスト関連のツイートは一晩で 40,000 回以上もリツイートされました。

figure1_15.png
図 1. Esurance 社のコンテストとの関連性を偽装した Twitter アカウント

同日の午後に入ると、Esurance 社のツイートから十分なフォロワーを獲得したからか、このアカウントは再びアカウントピボットを実行して、Life Hacks という名前に戻りました。

figure2_14.png
図 2. Esurance 社に偽装したアカウントは、数千人のフォロワーを獲得後、元の名前に戻った

これと同類のアカウントの多くは、リツイートやフォロワーを獲得することを特に目指しましていますが、シマンテックはそれ以上の悪用があることを確認しています。たとえば、Esurance 社を騙る偽アカウントの中には、コンテストの勝率を上げるためと称してフォロワーに寄付金を募るものもありました。

figure3_9.png
図 3. コンテストの勝率を上げると称して寄付金を募る Twitter アカウント

この活動はただちに閉鎖されましたが、その時点ですでに 261 ドルの寄付金が集まっていました。

こうしたアカウントは、フォロワーにフィッシングリンクを送りつけ、コンテストの参加者を増やすために Twitter にログインするよう求めるためにも使われている可能性があります。

そもそも、このようなアカウントが作成された目的は何なのでしょうか。コンテストの人気やそのハッシュタグに便乗することで、一部のアカウントは 1,000 人から 100,000 人ものフォロワーを集めました。その後、これらのアカウントの所有者は、本当の Twitter フォロワーを集めているアカウントを探し求めている個人に、偽のアカウントを売ることができます。そして、アフィリエイトスパムに利用されるのかもれしません。

マーケティングの目的で Twitter を利用するブランドが増えていますが、「認証済み」あるいはブランドに公式に関連付けられている Twitter アカウントからのコンテストルールを探して、その更新情報をフォローするようにしてください。今回の場合、Esurance 社は Web サイトに公式ルールFAQ を公開しています。

Twitter 上でユーザーの誤解を誘おうとしている疑いがあるアカウントは、Twitter 社に報告してください。

ソーシャルメディア詐欺について詳しくは、シマンテックセキュリティレスポンスチームの Twitter アカウント(@threatintel)をフォローし、Twitter 詐欺に関するこれまでのブログもお読みください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????? 2014 FIFA ???????????????????

      No Comments on ????????? 2014 FIFA ???????????????????

寄稿: Sean Butler

サッカーワールドカップ開催の年が始まった今、この世界的イベントに関連するキャンペーンが急増するのは当然のことでしょう。ワールドカップをめぐる興奮と熱狂を当て込んで、マーケティングや販促のキャンペーンが盛んになるものと予想されます。正規のマーケティングメールや販促メールに混じって、無料チケットを約束するメールや、コンテストや宝くじで新車が当選したと謳うメッセージが届くかもしれません。

嘘みたいなうまい話ですが、嘘みたいだという部分だけは的を射ています。

詐欺師は、今年の 6 月にブラジルで開催される FIFA ワールドカップに伴う熱狂を悪用しようと待ち構えています。万一にも詐欺に引っかかってしまうと、深刻な事態に陥りかねません。詐欺の被害者として銀行口座を空っぽにされてしまうだけでなく、コンピュータにマルウェアを仕掛けられてしまう恐れもあります。このマルウェアは、トロイの木馬をダウンロードしてユーザーの個人情報を盗み出す可能性もあれば、さらにはコンピュータに侵入してボットネットに組み込む機能まで備えているかもしれません。

シマンテックはすでに、FIFA ワールドカップに関連する詐欺メールをいくつか確認しています。シマンテックが発見した最初のサンプルは、FIFA ワールドカップを餌にしてマルウェアへのリンクを含む電子メールです。

この電子メールのヘッダーは以下のとおりです。

差出人: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@<ドメイン名>.com

件名: Copa do Mundo FIFA 2014

このヘッダーを翻訳すると次のようになります。

差出人: Congratulation you were the winner of a pair of tickets(ペアチケットの当選おめでとうございます) atendimento.promo5885631@<ドメイン名>.com

差出人: FIFA World Cup 2014(2014 FIFA ワールドカップ)

World Cup 2014 1 edit.png

図 1. FIFA ワールドカップに関連するマルウェア攻撃メール

この電子メールを翻訳すると以下のような文面になります。

You are the winner of a pair of tickets to the FIFA World cup 2014 Brazil!(2014 FIFA ワールドカップブラジル大会のペアチケットが当選しました!)

Print your e-Ticket copy and collect the ticket from the ticket center in your city(電子チケットを印刷して、お近くのチケットセンターでチケットをお受け取りください)

Print Ticket(チケットを印刷)

Check out the address of the ticket center in your city here(お近くのチケットセンターの住所確認はこちら)

このメールを受信したユーザーは、リンクをクリックして試合のチケットを印刷するよう促されます。ところが、このリンク先は eTicket.rar というファイルをダウンロードする悪質な URL になっていて、このファイルに eTicket.exe という名前の実行可能ファイルが圧縮されています。

World Cup 2014 2 edit.png

図 2. リンクをクリックすると悪質なファイルがダウンロードされる

次に、thanks.exe という名前のファイル(Infostealer.Bancos)が以下の場所に投下され、Windows を起動するたびに実行されます。

Programs/Startup/thanks.exe

このトロイの木馬はバックグラウンドで動作を続けながら、セキュリティ対策をすり抜け、金融口座などの個人情報を盗み出してログに記録し、後でリモートの攻撃者にそのデータを送信します。このマルウェアは、ブラジルの金融機関を標的にするようにカスタマイズされていることも確認されました。

電子メール内で参照されているすべての Web ページについてウイルスなどの脅威がないかどうかを確認するシマンテックの「リンク追跡」技術によって、URL の最後に含まれるマルウェアが正しく識別されるので、シマンテック製品をお使いのお客様は、この攻撃からすでに保護されています。次に検出定義が作成され、異なる URL だが同じマルウェアにつながる別のリンクを含む電子メールが今後見つかった場合には、感染しているのと同じように扱って検疫処理されます。

別の詐欺では、CIELO Brazil の偽広告が利用されています。CIELO 社は、ブラジルでクレジットカードとデビットカードを扱っている企業です。

World Cup 2014 3 edit_0.png

図 3. 2014 FIFA ワールドカップに関連するフィッシングメール

この電子メールを翻訳すると以下のような文面になります。

Congratulations, you have been chosen to take part in the Cielo Cup 2014.(おめでとうございます。2014年 シエロカップの参加資格に当選しました)

To promote World Cup 2014, you must register to compete for prizes worth 20 thousand Reais,(2014 ワールドカップを宣伝するために、20,000 レアル相当の抽選に登録してください)

Tickets, accommodation in exclusive places during the 2014 world cup and you could also win a Fiat Doblo 0 Km. (Sic)(チケットと、2014 ワールドカップ開催期間中の豪華宿泊券のほか、さらに走行距離 0 km のフィアットドブロが当たるかも(原文ママ))

Don’t waste time! PURCHASE Register right now at no extra cost and avail the benefits of our promotion.(さあ、今すぐお買い上げを! 今すぐ登録すれば、追加のご負担なくこの広告の特典をご利用いただけます)

Join this Mega Promotion and compete for these Super Prizes.(このメガ特典に参加して、特別プレゼントを手に入れよう)

Click here to unlock your promo code(プロモーションコードの申請はこちらをクリック)

[Click Here](ここをクリック)ボタンをクリックすると、ユーザーは以下のリンクにリダイレクトされます。

http://cielobrasil2014l.fulba.com/[削除済み]/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html

リダイレクト先の Web ページでは、ユーザー名、生年月日、ブラジルの納税者番号(CPF)を入力するよう求められます。

World Cup 2014 4 edit.png

図 4. 偽装された Web ページで個人情報を要求される

要求どおりに情報を入力すると、今度は図 5 のようなページにリダイレクトされ、銀行口座情報が要求されます。

World Cup 2014 5.png

図 5. 偽装された Web ページで銀行口座情報を要求される

さらに詳しく調べたところ、このフィッシング詐欺で使われている conteudo.casavilaverde.com というドメインは、ハッキングされたものであることが判明しました。

World Cup 2014 6 edit.png

図 6. ハッキングされてフィッシング詐欺に使われているドメイン

最後に挙げる 3 つ目のサンプルは、ナイジェリア詐欺です。

World Cup 2014 7.png

図 7. FIFA ワールドカップを餌にした詐欺メール

この電子メールには、大手ブランドが協賛する宝くじと称するファイルが添付されています。最終的にユーザーの個人情報が要求される点は変わりません。また、この電子メールは正規の内容であると見せかけようとしていますが、これまでに紹介した他のサンプルに比べると、いかにも素人然としています。メール本文には画像も URL なく、Word 文書が添付されているだけというところが、誰の目から見ても疑わしい作りです。

シマンテックの高度な監視システムでこれらの詐欺メールは識別されているため、お客様に届くことはありません。

最初の 2 つのサンプルはポルトガル語が書かれ、ブラジル在住のユーザーが標的になっていましたが、カスタマイズして別の国や地域、他の言語に変更するのはごく簡単です。世界的なサッカー人気を考えれば、この手のスパムメールに多くのユーザーが引っ掛かってしまう可能性はあるかもしれません。

世界的なイベントは、興味や関心を持つ人々の数が多いことから潜在的な被害者数も多くなるため、詐欺師にとっては大きな稼ぎのチャンスです。そのため、こうした詐欺は 2014 ワールドカップが近づくほど増えてくるものとシマンテックは予測しています。

今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策シグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

詐欺師の手口に騙されないように、嘘のようなうまい話の場合は特にご注意ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Million Dollar Twitter Contest Hijacked by Scammers

Scammers are taking advantage of recent Super Bowl social buzz in a scheme which target entrants of an Esurance contest. The company premiered a commercial following Super Bowl, where they offered US$1.5 million dollars to one lucky Twitter user who used the hashtag #EsuranceSave30.  Following this, Symantec Security Response has observed a number of fake Esurance Twitter accounts being created to leverage the attention generated by this contest.

Many of these Twitter accounts used variations of Esurance’s brand name and logo to convince users they are affiliated with the company. These accounts include the following Twitter handles:

  • EsuranceWinBig
  • EsuranceGW
  • Essurance
  • Esurrance
  • Esurnace
  • Esuranc

There are also other accounts that use logos and imagery making them look like they belong to Esurance, but their names have nothing to do with the brand. An example is an account named @HelpfulTips, whereby the “l” in Help is the capitalized letter “i”.

This account, created in December 2012, has racked up thousands of followers but performed an “account pivot” during the contest–it changed its avatar, bio and header image, and claimed to be part of the Esurance giveaway. The account added thousands of Twitter followers and received more than 40,000 retweets for a tweet related to the contest overnight.

figure1_15.png
Figure 1: Twitter account which claims to be associated with the Esurance giveaway

Earlier this afternoon, it performed yet another account pivot–after gaining enough followers from the Esurance tweets, it reverted back to a LifeHacks account.

figure2_14.png
Figure 2: Fake Esurance account pivots back after gaining thousands of followers

Many accounts of such nature focus on gaining retweets and followers, but Symantec has identified further abuse. For example, one of the fake Esurance accounts has asked its followers to donate money to increase their chances of winning the contest:

figure3_9.png
Figure 3. Twitter account asks for donations to increase their chances of winning the contest

This campaign was shut down quickly, but already  received US$261 in donations by then.

These accounts could also be used to send phishing links to followers, asking them to login to Twitter to earn more entries in the contest.

Why are these accounts being created in the first place? By riding on the popularity of the contest and the hashtag, some of these accounts have gained anywhere between 1,000 to 100,000 followers. After that, the owners of these accounts are able to sell these fake accounts to individuals who are looking for accounts with real Twitter followers instead of fake ones. This can then be used for affiliate spam.

As more brands use Twitter for marketing purposes, Symantec advises users to look for and follow updates and contest rules from Twitter accounts that are “verified” and/or officially associated with the brand.  In this case, Esurance has provided a set of official rules and frequently asked questions on their website.

If you suspect an account is attempting to mislead users on Twitter, you can report the account to Twitter.

To learn more about social media scams, follow Symantec Security Response team on @threatintel and read our blogs on previous Twitter scams:

Estafadores Cibernéticos Inician Campañas Relacionadas con el Mundial de Brasil 2014

Estamos iniciando el año en que se jugará el Mundial de futbol y es natural que en los siguientes meses veamos varias campañas relacionadas con este evento. Habrá mucho marketing y promociones asociadas con el entusiasmo y el interés que genera el  evento. Entre todo el marketing y correos electrónicos promocionales legítimos, podríamos recibir correos con premios prometedores como entradas gratuitas o notificaciones de la lotería diciéndonos que hemos  ganado un automóvil, por ejemplo.

Si piensa que suena demasiado bueno para ser verdad podría estar en lo cierto.

Los estafadores trataran de aprovecharse del entusiasmo vinculado con la Copa Mundial que se llevará a cabo en Brasil en junio y las consecuencias de que los usuarios sean víctimas de un fraude podrían ser graves. Los estafadores no solo pueden vaciar una cuenta bancaria sino que también podrían llenar de malware nuestra computadora. Esto puede implicar el robo de datos personales al descargar un Troyano o comprometer nuestro equipo y hacerlo parte de un Botnet.

En los últimos días, Symantec ha detectado varios correos fraudulentos relacionados con el Mundial de futbol, a continuación los detalles.

El primer ejemplo de fraude que Symantec identificó es un correo electrónico similar al que mostramos a continuación, el cual contiene un vínculo a un código malicioso:

Versión en portugués:

De: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@Domain.com

Asunto: Copa do Mundo FIFA 2014

fifa-1.png

Figura 1. Traducción del encabezado del correo electrónico con código malicioso (malware)

fifa-2.png

Figura 2. Ataque de código malicioso relacionado con el Mundial de la FIFA

fifa-3.png

Figura 3. Traducción del contenido del correo electrónico con malware

Se invita al usuario a hacer clic en la liga para imprimir el boleto al partido.

Pero, la liga lleva a un URL malicioso que descarga un archivo adjunto llamado eTicket.rar y  que contiene el programa ejecutable: eTicket.exe, como se muestra en la imagen a continuación.

fifa-4.png

Figura 4. Imagen del archivo adjunto (malware) que se descarga al hacer clic en la liga

Al ejecutarlo, se instala el archivo thanks.exe en el directorio de Programas/Inicio y se activa un Troyano en constante evolución Infostealer.Bancos y ese archivo continuará funcionando en segundo plano sin que el usuario lo note. Luego, tratará de evadir las medidas de seguridad, robar información financiera confidencial, registrar los datos recolectados y finalmente los enviará al atacante remoto. También hemos descubierto que el malware está dirigido especialmente para las  instituciones financieras brasileras.

Los clientes de Symantec están protegidos contra este ataque gracias a la tecnología de “Seguimiento de vínculo” (‘Link following’), que revisa todas las páginas de Internet referidas en un correo electrónico en busca de virus u otras amenazas, lo que permite identificar el malware en el URL incluido en el mensaje. A partir de esto, se creó la detección para que en el futuro los correos que contuvieran diferentes ligas a este malware, sean reconocidos como infectados y puestos en cuarentena.

Otro ejemplo de engaños en Internet relacionados con este tema es una supuesta promoción de la marca CIELO en Brasil. CIELO es un operador de tarjetas de crédito y débito en Brasil.

fifa-5.png

Figura 5. Phishing por correo electrónico relacionado con el Mundial 2014

El mensaje traducido es el siguiente:

fifa-6.png

Figura 6. Traducción del contenido del contenido del correo de phishing

Al dar clic en la liga dentro del correo con el siguiente URL:

<http://conteudo.casavilaverde.com/logs/copa2014/index.php?%email%>

Se redirige al usuario a:
 
http://cielobrasil2014l.fulba.com/copa,fuleco.dll/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html
  
Entonces la página de Internet solicita al usuario ingresar su nombre, fecha de nacimiento y el número de identificación fiscal de Brasil (Cpf).

fifa-7.png

Figura 7. El URL del phishing abre la página de Internet alterada y solicita datos personales.

Al proporcionar la información, el usuario es dirigido a la página que mostramos abajo que solicita los datos bancarios de los usuarios.

fifa-8.png

Figura 8. La página de Internet alterada solicita datos bancarios.

En un análisis más profundo encontramos que el dominio conteudo.casavilaverde.com está hackeado y se muestra como:
 

fifa-9.png

Figura 9. El dominio del URL en el correo está hackeado

Finalmente, el tercer ejemplo detectado por Symantec es una nueva versión de estafa nigeriana con los siguientes encabezados:

De: “FIFA 2014 World Cup Award”<globalpromotions@ @[domain].ru>

Asunto: Window Live Games 2014 FIFA World Cup

fifa-10.png

Figura 10. Adjunto del ejemplo de fraude nigeriano relacionado con el Mundial

El correo incluye un archivo adjunto que supuestamente es un premio patrocinado por grandes marcas y para obtenerlo se solicita al usuario información personal. El correo también contiene una nota que trata de parecer legítima pero inmediatamente se advierte que es algo amateur en comparación con los otros dos ejemplos mencionados. No hay imágenes ni URL en este correo y el hecho de que contenga un adjunto Word hace que resulte sospechoso.

Los sistemas de monitoreo avanzados de Symantec pudieron identificar los tres ejemplos de estafas electrónicas presentadas en este blog protegiendo así a nuestros clientes.

Mientras que los primeros dos correos están redactados en portugués dirigidos a personas en Brasil, los correos no deseados pueden personalizarse fácilmente por regiones, países e idiomas, teniendo en cuenta el interés que existe actualmente en el futbol.

Los eventos mundiales pueden ser muy lucrativos para los estafadores ya que tienen el potencial de estafar a más cantidad de personas debido al interés sobre dichos eventos. Como consecuencia, Symantec espera que la cantidad de correos fraudulentos se incremente a medida que se acerca la fecha del evento.

Como medida preventiva para los usuarios recomendamos no compartir información personal o confidencial. Debido al riesgo de pérdida financiera y de información confidencial en juego, Symantec aconseja a los usuarios estar alerta y seguir los siguientes consejos de seguridad:

  • Ser precavido al recibir correos no solicitados, inesperados o sospechosos
  • Evitar dar clic en ligas incluidas en correos sospechosos, no solicitados o inesperados
  • Evitar abrir archivos adjuntos en correos no solicitados
  • Mantener actualizado el software de seguridad
  • Actualizar las firmas antispam de forma periódica.

Symantec constantemente monitorea los ataques de spam para asegurarse de informar a los usuarios con información sobre las más recientes amenazas.

¡Que no te tomen fuera de lugar cuando se trata de ofertas y promociones, especialmente aquellas que parecen muy buenas para ser verdad!

 

Os fraudadores e golpistas digitais iniciam suas campanhas para a Copa do Mundo da FIFA 2014

Com aproximidade da Copa do Mundo da FIFA 2014 é natural que muitas campanhas de marketing e promoções relacionadas a este evento global sejam veiculadas para aproveitar o entusiamo deste momento. Porém, entre todos os e-mails e mensagens legítimas, muitos golpes online também já comecaram a ocorrer, com promessas de entradas grátis para os jogos e até um carro ao vencedor de um sorteio.

Os fraudadores e golpistas digitais já iniciam seus ataques e exploram o tema ligado à Copa do Mundo da FIFA no Brasil. As ramificações para o usuário ser uma vítima pode ter consequências de longo alcance. Não só o internauta pode ter sua conta bancária esvaziada pelos fraudadores, mas também infectar seu computador com ameaças, como malware. O que poderia acontecer, por exemplo, após a instalação dessa ameaça é o golpista roubar dados e informações pessoais do proprietário da máquina por meio do download de um Trojan, ou comprometer o computador e torná-lo parte de um Botnet.

A Symantec identificou vários emails maliciosos sobre a Copa do Mundo da FIFA. Na primeira amostra o golpe contém um link para um malware.

World Cup 2014 1 edit.png

Figura 1 – E-mail contendo malware relacionado à Copa do Mundo FIFA 2014

Após o clique, o usuário é direcionado a uma URL maliciosa, que faz o download do eTicket.rar (que abriga o eTicket.exe – Figura 2). Ao ser executado, o arquivo desencadeia o trojan Infostealer.Bancos, que instala o thanks.exe no diretório /Programas/Startup. 

Este arquivo, que irá tentar escapar de medidas de segurança, rouba informações financeiras e confidenciais, registra os dados colhidos e os envia para um criminoso remoto. Também foi descoberto que o malware foi personalizado para atingir instituições financeiras brasileiras.

World Cup 2014 2 edit.png

Figura 2 – Imagem da tela após clicar no hiperlink com malware

Outro exemplo de ataque é uma suposta fraude que utiliza a marca CIELO como chamariz para uma promoção falsa, que leva a uma página de phishing.

World Cup 2014 3 edit_0.png

Figura 3 – Email de phishing relacionado à Copa do Mundo FIFA 2014

Ao clicar no botão da promoção, a página de phishing

 http://conteudo.casavilaverde.com/logs/copa2014/index.php?%email% é redirecionada para <http://cielobrasil2014l.fulba.com/copa,fuleco.dll/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html> e solicita o nome, data de nascimento e CPF do usuário.

World Cup 2014 4 edit.png

Figura 4 – A URL abre uma página da web falsa solicitando dados pessoais

Após fornecer essas informações, uma nova página (Figura 5) é aberta, que solicita os dados bancários do usuário.

World Cup 2014 5.png

Figura 5 – URL solicita os dados de serviços bancários

Em uma análise mais aprofundada, a Symantec descobriu que o domínio conteúdo.casavilaverde.com foi hackeado e abre como na Figura 6.

World Cup 2014 6 edit.png

Figura 6 – Domínio da URL hackeado

Há, também, um golpe nigeriano, que traz um anexo que parece estar relacionado a um sorteio patrocinado por grandes marcas (Figura 7). Para parecer legítimo, esse e-mail contém um aviso, mas, por não conter imagens ou URLs e por ter apenas um documento do Word anexo, esse golpe parece ser mais simples do que os demais.

World Cup 2014 7.png

Figura 7 – Exemplo de golpe nigeriano relacionado à Copa do Mundo FIFA 2014

Eventos globais desse porte podem ser muito lucrativos para os golpistas devido ao aumento do número de interessados no assunto. Até a Copa do Mundo, diversas tentativas para atrair usuários e adquirir informações sensíveis e confidenciais irão ocorrer. Os e-mails de Spam, por exemplo, pode ser personalizados para diferentes países e regiões. Para evitar ser vítima desses golpes, a Symantec aponta as seguintes práticas de segurança online:

  • Não compartilhe informações pessoais e confidenciais.
  • Esteja atento ao clicar em qualquer link suspeito ou responder a qualquer oferta, especialmente as que parecem muito atrativas.
  • Certifique-se de usar fontes autorizadas para fazer transações e procurar dados relacionados à Copa do Mundo.
  • Utilize software de segurança original e atualizado em seus equipamentos conectados à Internet, como o  Norton Internet Security.

Fraudsters and Scammers Kick Off Their Campaigns for the 2014 FIFA World Cup

Contributor: Sean Butler

As it’s the start of a Football World Cup year it’s only natural that we will see many campaigns in relation to this global event. There will be many marketing and promotional campaigns taking advantage of the hype and excitement surrounding this event. Amongst all of the legitimate marketing and promotion emails, you may also receive emails promising anything from free match tickets, to competitions and lottery prizes stating that you have won a car.

Sound too good to be true? Well, you would be right in thinking that!

Fraudsters will be looking to exploit the enthusiasm that comes with the FIFA World Cup, which will be taking place in Brazil this June. The ramifications of you being scammed could be very serious indeed. Not only could you become a victim of fraud by having your bank account emptied by these fraudsters, you could also end up with malware on your computer. This malware could do anything from stealing your personal details by downloading a Trojan, to compromising your computer and making it part of a botnet.

Symantec has already spotted several FIFA World Cup related scam emails. The first scam sample Symantec discovered, relating to the FIFA World Cup, is an email that contains a link to malware.

The email has the following headers:

From: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@Domain.com

Subject: Copa do Mundo FIFA 2014

This email header can be translated as:

From: Congratulation you were the winner of a pair of tickets atendimento.promo5885631@Domain.com

From: FIFA World Cup 2014

World Cup 2014 1 edit.png

Figure 1. Malware attack email related to FIFA World Cup

This email can be translated as:

You are the winner of a pair of tickets to the FIFA World cup 2014 Brazil!

Print your e-Ticket copy and collect the ticket from the ticket center in your city

Print Ticket

Check out the address of the ticket center in your city here

The recipient is enticed to click the on the link and print the match tickets. However, the link leads to a malicious URL that downloads the file eTicket.rar, which contains an executable file named eTicket.exe.

World Cup 2014 2 edit.png

Figure 2. Clicking on the link leads to malicious download

Next, a file named thanks.exe (Infostealer.Bancos) is dropped in the following location so that it runs every time Windows starts:

Programs/Startup/thanks.exe

The Trojan will continue to run in the background and try to evade security measures, steal confidential financial information, log the stolen data, and send it to a remote attacker at a later time. We have also discovered that the malware is customized to target Brazilian financial institutions.

Symantec customers would have been protected against this attack because our ‘Link following’ technology, which checks all Web pages referenced within an email for viruses and other threats, correctly identified the malware at the end of the URL. Detection was then created so that future emails containing different links to this malware will be treated as though they are infected and then quarantined.

Another scam involves a fraudulent CIELO Brazil promotion. CIELO is a Brazilian credit and debit card operator.

World Cup 2014 3 edit_0.png

Figure 3. Phishing email related to FIFA World Cup 2014

This email can be translated as:

Congratulations, you have been chosen to take part in the Cielo Cup 2014.

To promote World Cup 2014, you must register to compete for prizes worth 20 thousand Reais,

Tickets, accommodation in exclusive places during the 2014 world cup and you could also win a Fiat Doblo 0 Km. (Sic)

Don’t waste time! PURCHASE Register right now at no extra cost and avail the benefits of our promotion.

Join this Mega Promotion and compete for these Super Prizes.

Click here to unlock your promo code

If the recipient clicks the “Click Here” button, they are redirected to the following URL:

http://cielobrasil2014l.fulba.com/[REMOVED]/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html

The webpage asks for a username, date of birth, and a Brazilian tax registration number (CPF).

World Cup 2014 4 edit.png

Figure 4. Spoofed Web page asking for personal credentials

On providing the required information, the user is sent to the page shown in Figure 5, which asks for the user’s banking credentials.

World Cup 2014 5.png

Figure 5. Spoofed Web page asking for banking credentials

On further analysis, we found that the domain conteudo.casavilaverde.com used in the phishing scam had been hacked.

World Cup 2014 6 edit.png

Figure 6. Hacked domain used in phishing scam

Finally, the third example is a Nigerian scam.

World Cup 2014 7.png

Figure 7. Nigerian FIFA World Cup scam email

The email contains an attachment that claims to be about a lotto sponsored by major brands. The scam ultimately asks the recipient for personal information. The email also contains a notice to try and look legitimate, but this looks amateurish in comparison to the other examples referenced in this blog. There are no images or URLs contained within the email and the fact that it only contains an attached Word document would make anyone suspicious.

Symantec’s advanced monitoring systems were able to identify the above scam emails and protect our customers from receiving them.

While the first two example emails are composed in Portuguese and aimed at people in Brazil, they can easily be customized for different regions, countries, and languages. Considering the influence football has across the globe, such spam mail could potentially trick many people.

Global events can be very lucrative for scammers as they have the potential to scam more victims by appealing to peoples’ interest and curiosity. As a consequence, Symantec expects such scams to increase as we get closer to the 2014 World Cup.

Symantec advises users to be on their guard and to adhere to the following security best practices:

  • Exercise caution when receiving unsolicited, unexpected, or suspicious emails
  • Avoid clicking on links in unsolicited, unexpected, or suspicious emails
  • Avoid opening attachments in unsolicited, unexpected, or suspicious emails
  • Keep security software up-to-date
  • Update antispam signatures regularly

Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.

Don’t be caught offside when it comes to special offers, especially ones that look too good to be true!

????: ????????????

      No Comments on ????: ????????????
中国では今、新年を迎える準備に沸いています。今年は 1 月 31 日の新月から午年が始まります。世界中で 10 億を超える人々が旧暦の新年を祝うことになり、今年の祝賀行事はこれまで以上に華やかなものになるでしょう。
 
中国の新年は春節とも呼ばれ、この日は感謝祭のように皆が集まり、お祝いの最中にプレゼントの交換が行われます。友人や家族、同僚のほか取引先ともプレゼントを交換して、親愛、敬意、忠義の気持ちを表します。事業主が顧客に贈り物をしたり、お店が日頃の感謝を込めてプレゼントやディスカウントを提供することもよくあります。しか、スパマーもこの慣習を十分すぎるほど熟知しています。
 
スパマーや詐欺師は特別な機会に便乗し、贈り物という素晴らしい習慣を悪用してスパムを送りつけてきます。彼らは友人や事業主の振りをして、プレゼントやディスカウントを謳う電子メールを送り、無防備な人々の気を引こうとします。
 
シマンテックは、有名企業を装って中国の新年を悪用したスパムを確認しています。このスパムメッセージは受信者の博愛心に訴えかけ、愛する人へのプレゼントとして、その企業の商品を勧めています。
 
サンプル
translated.png
図 1. スパムメッセージの件名
 
翻訳
件名: [企業名] から皆様へ、あけましておめでとうございます。
 
 
email_0.png
図 2. 午年にちなんだ中国語のスパムメールのプレビュー
 
翻訳
ご挨拶
 
巳年の終わりも近づき、午年がすぐそこまで来ています。いよいよ新年が始まり、何もかもが新たにスタートを切ります。新年を迎えるにあたり、[商品名] より心からの敬意と感謝を込めて、お客様とご家族にお祝い申し上げます。皆様のご健康とご多幸をお祈りいたします。
 
今後ともご愛顧のほどお願いいたします。皆様にとって素晴らしい新年になりますように!
 
[企業名]
2014 年 1 月
 
このスパムメールの件名には、会社を代表して顧客への挨拶が書かれています。本文には、祝賀の雰囲気を盛り上げるような楽しい画像のプレビューが含まれています。このメッセージを読んだ人が贈り物を買う際に同社の商品を選ぶことを狙って、企業名を記憶させようとしています。
 
シマンテックでは過去にも、中国の新年にちなんだ各種のスパムを確認してきました。中でも最も目立つのが、偽のプレゼントやディスカウントを謳ったスパムです。もう 1 つ重大なスパムに分類されるのが詐欺メールです。たとえば、借金を完済して良い新年を迎えられると思い込ませる、ローンや仕事を案内する偽の電子メールなどが挙げられます。このようなスパムメールはすべて、世界中に広がる中国人社会の強い伝統と価値観につけ込んだものです。
 
中国の新年のお祝いは 1 月 31 日に始まり、元宵節を祝う満月の日まで 15 日間続きます。この元宵節の際にも、同様のスパムが増えるものと予測されます。
 
新年のお祝いは、スパマーがユーザーを標的にする恰好の機会です。スパマーの罠に引っ掛からないためにも、新年にちなんだ迷惑メールは開かないようにしてください。
 
午年が皆様にとって最高の年になりますよう、お祈り申し上げます。
 
 
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

‘Xin Nian Kuai Le’: Spammers Say Happy New Year

China is gearing up to usher in the Year of the Horse, which begins with the new moon on January 31 this year. With more than a billion people worldwide preparing to celebrate the new year for the lunar calendar, the celebration this year promises more color than ever before.
 
Chinese New Year, also known as the spring festival, is a day for reunion and thanksgiving, where exchanging gifts is at the heart of the celebration. Friends, family, colleagues and even businesses exchange gifts to show love, respect and loyalty. Business owners often send gifts to their customers and shops offer gifts and discounts to show their gratitude. However, spammers are all too aware of this practice.
 
The spammers and fraudsters are known to capitalize on special occasions and exploit the noble gesture of giving gifts in order to send out spam. They are known to pose as friends and business owners and send emails promising gifts and financial offers to attract unsuspecting victims. 
 
We’ve observed spam that exploits Chinese New Year by pretending to be from a reputed company. The spam message appeals to the recipient’s benevolence, asking them to give the company’s products as gifts to loved ones.
 
Sample
translated.png
Figure 1. The subject of the spam message
 
Translation
Subject: [COMPANY NAME] wish users, a happy new year.
 
 
email_0.png
Figure 2. Preview of the Chinese spam email related to the Year of the Horse
 
Translation
Greeting all customers,
 
As the year of the golden snake is coming to an end, year of lucky horse right at our door steps! It’s the beginning of a new year, everything is a new start! As we are about to approach the new year, [PRODUCT NAME] would like to send our greeting to you and your family with utmost respect and well wishes! We wish you a happy and healthy new year!
 
Thanks for your continuous support to the company. We wish you a great Year of the Horse. Happy New Year!
 
[COMPANY NAME]
2014 January
 
The spam sample in discussion has the subject line greeting the customers on behalf of the company. The body contains an image preview which looks cheerful to spread the holiday feeling. The message tries to make the name of the company linger in the minds of the readers so that they may consider its products while gift shopping.
 
In previous years, Symantec had observed a variety of Chinese New Year spam. The most prominent among them promoted fake gift offers and discounts. Scams formed another significant spam category, which included loan offers and job offers, making people think they can pay off any debt they may have and get a good start in the new year. All these spam emails were devised to exploit the strong traditions and values of the Chinese community worldwide.
 
The Chinese New Year festivities commence on January 31 and will continue for 15 days until the full moon, when Lantern Festival is celebrated. We can expect more spam of a similar nature during this  time.
 
The New Year festival is a good opportunity for the spammers to target users. The best practice to avoid falling into the spammers’ traps is to be wary of opening unsolicited new year themed emails.
 
We wish you all the very best in the Year of the Horse!

???????????????????????

      No Comments on ???????????????????????

2013 年、ユーザーを詐欺サイトに誘導する何千ものアプリが Google Play で公開されました。日本では、この形態の詐欺は通常「ワンクリック詐欺」と呼ばれています。2013 年 1 月に初めての亜種が出現して以来、何日間も生き残る詐欺アプリはほんのひと握りですが、2013 年の 1 年間に公開された詐欺アプリは、合計すると 3,000 種以上にものぼることが確認されました。昨年の 10 月までに詐欺師たちは、新しい亜種を Google Play で公開することをやめていますが、その理由はわかっていません。

figure1_12.png
図 1.
ワンクリック詐欺サイトに誘導するアプリが 2013 年中に Google Play で公開された総数

詐欺サイトに被害者を誘い出すアプリは、Google Play でこそ公開されなくなりましたが、最近は被害者を詐欺サイトに誘導するために別の経路が使われています。たとえば、それはスパムなどです。

この詐欺は携帯電話、特にスマートフォンに届いたスパムから始まるのが一般的です。スパムメッセージには、アダルト動画サイトへのリンクが掲載されています。そのサイトでは、動画を無料で鑑賞できると謳われています。

figure2_13.png
図 2.
この詐欺の過程で届くスパムメッセージの例

figure3_8.png
図 3.
スパムメッセージからリンクされているアダルト動画サイト

動画を見るためには、電話を掛けてサイトに登録しなければならないと指示されます。被害者がサイトで指定されている番号に電話を掛けると、自動システムが電話を受け、被害者のモバイルデバイスの電話番号を保存します。次に、サイトにアクセスするために電話番号を入力するよう求められます。

figure4_6.png
図 4.
動画を見るためにサイトに登録するよう指示される

サイトへの登録を済ませて動画をクリックすると、別の Web ページが開きます。このページを注意深く読むと、「無料」という単語が完全に消えていて、購読料金に関する小さな注意書きが追加されていることに気が付きます。

figure5_4.png
図 5.
購読料金の詳しい案内が載ったアダルト動画サイト

この注意書きを見逃してダウンロードボタンをタップすると、有料サービスに登録したことになり、約 10 万円という法外な料金を請求されてしまいます。実際に 2 つのアダルト動画ページの URL を比較してみれば、ドメインが違うことがわかるはずです。ユーザーは元のサイトから別のサービスにリダイレクトされています。動画を無料で見られるのは元のサイトだけですが、実際には動画は見つかりません。リダイレクト先のサイトには動画がありますが、それは無料ではないのです。

figure6_0.png
図 6.
購読料金を請求するサイトの登録ページ

元のサイトの利用規約を読むと、そのサイトにあるすべてのコンテンツには無料でアクセスできるが、リンク先の他のサービスは有料の場合があると書かれています。

サイトの Q&A ページに、詐欺師からの電話に引っかかって動画サービスの料金を請求されることがあるという警告文が書かれているのは、何とも皮肉です。このページでは、料金の支払いには注意する必要があるとも指導しています。実際に、期日までに料金が支払われないと、詐欺師は督促電話を掛けてきます。

figure7_0.png
図 7.
詐欺に関する警告文が書かれた Q&A ページ

こうした詐欺は毎日のように発生しており、オペレーティングシステムの種類を問わず、スマートフォンを持つユーザーが狙われています。引き続きワンクリック詐欺には警戒して、迷惑メール(スパムメッセージ)のリンクは絶対にクリックしないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Ancient Japanese Click Fraud Still Healthy and Alive

In 2013, scammers published thousands of apps on Google Play that led to fraudulent sites. This form of scam is typically called “one-click fraud” in Japan.  The very first variant appeared in January and while only a handful of these fraudulent apps survive for a few days at most, we confirmed that, in total, more than 3,000 apps were published on the market in 2013. By October, scammers for the most part have stopped publishing new variants of the fraudulent apps on Google Play for unknown reasons.

figure1_12.png
Figure 1.
Total number of apps leading to one-click fraud sites published on Google Play throughout 2013

While apps that lure victims to fraudulent sites may no longer be available on Google Play, there are currently other vehicles leading victims to these sites, such as spam. 

This scam typically begins with spam that has been sent to a mobile phone, ideally a smartphone. The spam message contains a link to an adult video website. The site claims that videos can be viewed free of charge.

figure2_12.png
Figure 2.
Example of the spam message sent as part of this scam

figure3_7.png
Figure 3.
The adult video site linked in the spam message

To view a video, the visitor is instructed to make a phone call in order to register for the site. Once the user calls the number provided on the site, an automated system will accept the call and save the phone number of the victim’s mobile device. The visitor will then be prompted to input their telephone number in order to access the site.

figure4_4.png
Figure 4.
The site instructs the user to register to access the videos

When the user clicks on a video after they’ve registered for the site, another Web page opens. If you read the page carefully, you will notice that the term “free” has completely disappeared and a tiny note about a subscription fee has been added.

figure5.png
Figure 5.
The adult video site with details of a subscription fee

If the visitor fails to notice this detail and clicks the download button, they will end up registering for the paid service and will be charged the hefty price of about US$1,000. If you actually compare the URL of the two adult video Web pages, you will notice that the two sites have different domains. The original site redirects the visitor to a different service and allows free videos to be viewed only on its own site, but no videos can be found. There are videos on the second site, but they are not available for free.

figure6.png
Figure 6.
Registration page for the site that charges a subscription fee

The end-user agreement on the original site states that all content on the site can be accessed free of charge, however, other services linked to the site may not be free.

Interestingly, the site’s Q&A page warns visitors that they may receive phone calls from scammers asking them to pay for video services. The Web page instructs users to be carefully about making payments. The scammers do follow up by calling the visitors if the fee is not paid by the deadline.

figure7.png
Figure 7.
The Q&A page with a warning about scammers

These scams occur on a daily basis and affect users with smartphones that run any type of operating system. Users should remain vigilant of one-click fraud scams and should avoid clicking on links received through unsolicited spam messages.