Tag Archives: online fraud

.pw Hit and Run Spam with Royal Baby Trend

Last month Symantec posted few blogs (here and here) on an increase in spam messages with .pw URLs.

Since then the volume of URLs with .pw domains has considerably decreased. At the beginning of May the peak volume .pw domains accounted for about 50 percent of all spam URLs. Currently, .pw domains account for less than 2 percent for the last seven days.

Figure1_6.png

Figure 1. .pw TLD appearance in spam messages

The decrease in .pw domains is the result of a close collaboration between Symantec and Directi in reporting and taking down the .pw domains associated with spam.

The latest evidence from the Global Intelligence Network shows that even with such a small presence of former country top-level domains for Palau, .pw spammers don’t give up and start using different tactics. They keep an eye on the latest news from around the world and convert hot news headers into domain names.

One such example is the domain name babykingishere.pw, which was registered on July 24 by a registrant from Panama. The name chosen by spammers was based on the big news from the UK, the birth of future king. While the world is celebrating, spammers have definitely tried to take advantage of the event.

So far, the spam domain was only observed within promotional hit-and-run spam. One of the main characteristics of this type of spam is the use of “throw away” domains, which the babykingishere.pw domain is.

Sample “From” lines taken from observed Hit and Run spam with the babykingishere.pw domain:

  • From: “Cable Internet” <CableInternet@babykingishere.pw>
  • From: “Medical Billing and Coding Education” <MedicalBillingandCodingEducation@babykingishere.pw>

Figure2_3.png

Figure 2. Sample spam message with links containing the babykingishere.pw domain

Currently, both samples are blocked by Symantec with IP reputation and content filtering. Symantec will continue to monitor .pw domains and any appearance of “Royal Baby” spam.

Use of Legit Online Translation Services in Pharmacy Spam

For the last few months, Symantec has been observing pharmacy related spam attacks where spammers are using the legitimate Google Translate service to avoid anti spam filters. 

Most of the samples received were sent from hijacked email addresses from popular free mail services. 
The majority of the messages’ subject lines were promoting either online pharmacies or well-known  tablets such as Viagra, Cialis and others. Furthermore, in an effort to make the spam immune to filters, several observed subject lines contained randomized non-English characters or words inserted at the beginning or end of the subject line. 

Figure1_4.png

Figure 1. Sample subject lines

The body of the spam message contains a Google Translate link as well as promotional text explaining the advantages of ordering medicines from online websites, there’s even a discount code included for the reader.

Figure2_2.png

Figure 2. Sample spam message

The mechanism of the redirection is quite complex. After clicking the link, Google Translate is meant to get a second address embedded in the link, which then redirects to a pharmacy website.

In our sample the final destination was the following pharmacy site:

  • [http://]www.magic-pharm.com

It is worth noting that previously spammers mostly used freewebs or URL shortening services in the second part of the link (redirection link), but recently they’ve taken advantage of country IDN top-level domains, especially Cyrillic .рф domains. In redirection links, Cyrillic domains are represented in Punycode. 

The following is an example of a link as it presented in a spam mail:

  • [http://]www.google.com/t%72ans%6C%61%74e_p?hl=%65%6E&u=pnfd.fr.%78n–8%%330%61%66%61f0asd%62%63g.%78n-p1a%69/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI+.aspx

Output from win-1251 decoding:

  • [http://]translate.google.com/translate?hl=en&u=http://pnfd.fr.xn--80afaf0asdbcg.xn--p1ai/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI%2520.aspx

With Punycode decoding:

  • [http://]translate.google.com/translate?hl=en&u=[http://]pnfd.fr.конггандон.рф/ipf24aeAGzLC8vs0zJMzA3NDQ0NzAEACbKBDs .aspx

Symantec is successfully blocking the majority of variations of Google Translate redirection spam and is closely monitoring for any other inappropriate use of Google Translate services in spam email. This exploit is used in spam campaigns and has not, as yet, been observed being used in the distribution of malware.

Use of Legit Online Translation Services in Pharmacy Spam

For the last few months, Symantec has been observing pharmacy related spam attacks where spammers are using the legitimate Google Translate service to avoid anti spam filters. 

Most of the samples received were sent from hijacked email addresses from popular free mail services. 
The majority of the messages’ subject lines were promoting either online pharmacies or well-known  tablets such as Viagra, Cialis and others. Furthermore, in an effort to make the spam immune to filters, several observed subject lines contained randomized non-English characters or words inserted at the beginning or end of the subject line. 

Figure1_4.png

Figure 1. Sample subject lines

The body of the spam message contains a Google Translate link as well as promotional text explaining the advantages of ordering medicines from online websites, there’s even a discount code included for the reader.

Figure2_2.png

Figure 2. Sample spam message

The mechanism of the redirection is quite complex. After clicking the link, Google Translate is meant to get a second address embedded in the link, which then redirects to a pharmacy website.

In our sample the final destination was the following pharmacy site:

  • [http://]www.magic-pharm.com

It is worth noting that previously spammers mostly used freewebs or URL shortening services in the second part of the link (redirection link), but recently they’ve taken advantage of country IDN top-level domains, especially Cyrillic .рф domains. In redirection links, Cyrillic domains are represented in Punycode. 

The following is an example of a link as it presented in a spam mail:

  • [http://]www.google.com/t%72ans%6C%61%74e_p?hl=%65%6E&u=pnfd.fr.%78n–8%%330%61%66%61f0asd%62%63g.%78n-p1a%69/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI+.aspx

Output from win-1251 decoding:

  • [http://]translate.google.com/translate?hl=en&u=http://pnfd.fr.xn--80afaf0asdbcg.xn--p1ai/tipfa6eeAFLSinIMyxPMzA3NDMwMDAEACeKBEI%2520.aspx

With Punycode decoding:

  • [http://]translate.google.com/translate?hl=en&u=[http://]pnfd.fr.конггандон.рф/ipf24aeAGzLC8vs0zJMzA3NDQ0NzAEACbKBDs .aspx

Symantec is successfully blocking the majority of variations of Google Translate redirection spam and is closely monitoring for any other inappropriate use of Google Translate services in spam email. This exploit is used in spam campaigns and has not, as yet, been observed being used in the distribution of malware.

????????????????????????????????????

フィッシングのエサをどれだけ効果的にできるか。フィッシング詐欺師が最優先で考えているのは、常にその一点です。詐欺師は、できるだけ多くのユーザーの関心をひくような話題を反映したエサを好んで使いますが、最近の手口はさらに一歩進んでいます。目をひくエサを使うだけではなく、ユーザーが詐欺の片棒をかつぐように仕向けているのです。今回の例では、携帯電話の無料通話時間がエサとして使われました。

このフィッシングサイトは、インドの Facebook ユーザーに対して、携帯電話の無料通話サービスを利用するために、ログイン情報を入力してアカウントを確認するよう求めていました。ところが、このフィッシング詐欺師は 1 人のユーザーを欺くだけでは満足せず、もっと多くのユーザーを狙おうとします。このサービスを利用するには、一定数以上の友達のプロフィールページに、同じ広告を投稿する必要があると煽るのです。こうした手口をとるのは、言うまでもなく、出所が不明なメッセージより友達から届くメッセージのほうが説得力があるからです。この手口を使えば、労せずして無防備なユーザーがスパム送信に協力してくれます。

image1_4.jpeg

図 1. Facebook のアカウント確認
 

image2_2.jpeg

図 2. 「いいね」を求める
 

image3_1.jpeg

図 3. 共有を誘う
 

image4_1.jpeg

図 4. 共有を誘い、個人情報の入力を求める
 

フィッシングサイトの最初のページでは、Facebook アカウントを確認するよう求められ、すべての情報を正しく入力する必要があるという注意書きも表示されます。2 ページ目では、インドの携帯電話事業者を抜粋した一覧画像が表示され、あと 4 つのステップを完了すれば「500 ルピー」相当の無料通話時間を利用できるようになると説明されます。必要なステップは基本的に、「いいね」を押すこと、購読、共有、そして 10 人以上の友達のプロフィールページにこの広告を投稿することです。プロセスの最終段階では、名前、メールアドレス、携帯電話番号、回線事業者、セルラーゾーンなどの個人情報の入力を要求されます。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????????????

フィッシングのエサをどれだけ効果的にできるか。フィッシング詐欺師が最優先で考えているのは、常にその一点です。詐欺師は、できるだけ多くのユーザーの関心をひくような話題を反映したエサを好んで使いますが、最近の手口はさらに一歩進んでいます。目をひくエサを使うだけではなく、ユーザーが詐欺の片棒をかつぐように仕向けているのです。今回の例では、携帯電話の無料通話時間がエサとして使われました。

このフィッシングサイトは、インドの Facebook ユーザーに対して、携帯電話の無料通話サービスを利用するために、ログイン情報を入力してアカウントを確認するよう求めていました。ところが、このフィッシング詐欺師は 1 人のユーザーを欺くだけでは満足せず、もっと多くのユーザーを狙おうとします。このサービスを利用するには、一定数以上の友達のプロフィールページに、同じ広告を投稿する必要があると煽るのです。こうした手口をとるのは、言うまでもなく、出所が不明なメッセージより友達から届くメッセージのほうが説得力があるからです。この手口を使えば、労せずして無防備なユーザーがスパム送信に協力してくれます。

image1_4.jpeg

図 1. Facebook のアカウント確認
 

image2_2.jpeg

図 2. 「いいね」を求める
 

image3_1.jpeg

図 3. 共有を誘う
 

image4_1.jpeg

図 4. 共有を誘い、個人情報の入力を求める
 

フィッシングサイトの最初のページでは、Facebook アカウントを確認するよう求められ、すべての情報を正しく入力する必要があるという注意書きも表示されます。2 ページ目では、インドの携帯電話事業者を抜粋した一覧画像が表示され、あと 4 つのステップを完了すれば「500 ルピー」相当の無料通話時間を利用できるようになると説明されます。必要なステップは基本的に、「いいね」を押すこと、購読、共有、そして 10 人以上の友達のプロフィールページにこの広告を投稿することです。プロセスの最終段階では、名前、メールアドレス、携帯電話番号、回線事業者、セルラーゾーンなどの個人情報の入力を要求されます。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージ中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティまたはノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺を防止する総合的なセキュリティソフトウェアを使う。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers Pursue More Victims by Urging Users to Spam

Improving effectiveness of phishing bait is always at the top of any phishers’ agenda. They prefer to use bait that reflects enticing subjects in order to catch the attention of as many users as possible. Recently, we have seen phishers moving one step ahead. In addition to having eye-catching bait, they are compelling users to spread the word. In today’s example, phishers used free cell phone airtime as the phishing bait.

The phishing site requested Indian Facebook users to verify their account by entering their login credentials in order to get the fake offer of free cell phone airtime. But phishers, not content with just duping one user and eager to target even more, start off by saying the offer is only valid after posting this same offer on the profile pages of a number of friends. Phishers devised this strategy because obviously receiving messages from friends is more convincing than from unknown sources. The method phishers are using in effect enlists unsuspecting users into spamming for them.
 

image1_4.jpeg

Figure 1. Facebook account verification
 

image2_2.jpeg

Figure 2. “Like us” enticement
 

image3_1.jpeg

Figure 3. Sharing enticement
 

image4_1.jpeg

Figure 4. Sharing enticement and personal information request
 

The first page of the phishing site asked users to verify their Facebook account. Users were then alerted that all information should be entered correctly. The second page of the phishing site displayed an image of a selection of Indian cell phone network operators. The phishing page stated that free airtime worth “Rs. 500” is available from the offer after following four additional steps. The steps were essentially to like, subscribe, share, and post the offer to at least 10 friends. Finally, in order to complete the process, the phishing site asked users for personal information including name, email address, cell phone number, network operator, and cellular zone. If any user fell victim to the phishing site, phishers would have successfully stolen personal user information for identity theft.

Users are advised to follow best practices to avoid phishing attacks:

  • Do not click on suspicious links in email messages
  • Do not provide any personal information when answering an email
  • Do not enter personal information in a pop-up page or screen
  • Ensure the website is encrypted with an SSL certificate by looking for the padlock, “https,” or the green address bar when entering personal or financial information
  • Use comprehensive security software such as Norton Internet Security or Norton 360, which protects you from phishing scams and social network scams
  • Report fake websites and email (for Facebook, send phishing complaints to phish@fb.com)

Adult Voice-Service Apps on Google Play Japan Charge Users Without Notice

McAfee has reported on increasing fraudulent Android applications on Google Play in Japan this year, including one-click fraud applications and fraudulent adult dating service applications. The attackers are still looking for new victims using various techniques. We have also found a new variant of the one-click fraud application that lures careless users into adult voice-connection Read more…

Spammers Playing in Wimbledon Court

The 127th edition of the Wimbledon Championships, and third Grand Slam event of the year, are coming to an end with the final being played July 7. When it comes to major sporting events we can expect large amount of gambling, and spammers take advantag…

Spammers Playing in Wimbledon Court

The 127th edition of the Wimbledon Championships, and third Grand Slam event of the year, are coming to an end with the final being played July 7. When it comes to major sporting events we can expect large amount of gambling, and spammers take advantag…

?????????????????????????

      No Comments on ?????????????????????????

米国の独立記念日は国民の祝日であり、7 月 4 日という日付はよく知られています。さまざまな祝典が催され、政治的演説やパレード、花火で祝うのが伝統です。スパマーは、この日を悪用しようとして独立記念日のイベントにちなんだ多くのスパムメッセージを送りつけています。確認されたスパムサンプルの多くは、車の在庫一掃セールをはじめとして、お買い得商品を宣伝するものです。
 

Spammers Independence 1.jpeg

図 1. 米国の独立記念日を狙ったスパム
 

このスパムメールは、7 月 4 日のイベントを前に 2013 年モデルの自動車が記録的な需要を示していると述べてユーザーを誘おうとしています。電子メールに記載されているリンクをクリックすると Web ページにリダイレクトされ、価格を比較したい自動車の種類を選択するように求められます。詳しい情報を入力すると、今度は個人情報、電子メールアドレス、支払い方法などを入力する Web ページに移動します。

独立記念日にちなんで一掃セールを謳うスパム攻撃では、以下のような件名が確認されています。

  • (July 4th) Independence Day Sale – Insane!((7 月 4 日)独立記念日セール – 前代未聞!)
  • Retrieve 4th of July Day Prices On All Cars Today(全車対象、7 月 4 日の限定価格は今日だけ!)
  • Every 2013 automobile is (50%-off) July 4th(2013 年モデルがどれも 50% オフ、7 月 4 日限り)
  • Summer Kickoff (4th of July deals start now)(夏のキックオフセール(本日より、7 月 4 日特別価格))
  • INCREDIBLE 4th of July Savings on New Cars in Your Area xxx!(7 月 4 日は、お近くの xxx で信じられないようなお買い得)

Spammers Independence 2.jpeg

図 2. 7 月 4 日を狙った特別セールスパム
 

最近、スパマーの間でトレンドになっているのが、ディスカウント用の偽のクーポンコードで商品を購入できると謳ってユーザーを誘う手口です。このスパム攻撃で使われているディスカウントコードは、JULY [ランダムな数字] などの形式で、独立記念日のセールを利用しようとするユーザーを誘導してリンクをクリックさせることを狙っています。

次に示すスパムメールのサンプルは、偽の広告でユーザーを煽って医薬品を購入させようとしています。URL をクリックすると、医薬品販売を騙る偽の Web サイトにリダイレクトされます。このような偽の広告には十分に注意する必要があります。
 

Spammers Independence 3.jpeg

図 3. 偽の医薬品販売 Web ページ
 

迷惑メールや心当たりのない電子メールの扱いにはご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

一緒に、独立記念日をお祝いしましょう!

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。