Tag Archives: phishing

???????????????????????????? Instagram ??

先週、Instagram を悪用する詐欺師から、宝くじに当選したと称して、その当選金をフォロワーに進呈すると騙る画像が投稿されました。詐欺師はユーザーを欺いてこの投稿を共有させ、個人情報を引き出したり、さらには詐欺師への送金を求めたりします。

この詐欺では、英国と米国の現実の宝くじ当選者になりすますために多数の Instagram アカウントが作成されました。そして、そのアカウントをフォローし、コメントと電子メールアドレスを残してくれたユーザーに 1,000 ドルずつ進呈すると謳っています。

figure1_20.png
図 1. 実際の宝くじ当選者になりすました Instagram アカウント

宝くじ当選者になりすましたアカウントの成功率はきわめて高く、5,000 ~ 10,000 人程度のフォロワーを獲得しています。

一定数のフォロワーを集めると、今度は当選者たちの「会計士」と称する人物の Instagram アカウントが登場します。この会計士が 1,000 ドルの送金を担当するということになっていますが、そこに罠が仕掛けられています。

figure2_19.png
図 2. 偽「会計士」のプロフィールが金銭を要求してくる

上の図では、「会計士」のプロフィールを名乗る人物が、大手の決済処理サービスを使って 0.99 ドルを送金するよう Instagram ユーザーに求めています。小切手を送るための郵送費用という名目です。

figure3_11.png
図 3. 宝くじ詐欺に引っかかってしまったユーザー

警戒すべき要素がたくさんあったにもかかわらず、この詐欺は成功を収めており、各アカウントが数千人のフォロワーを集めました。フォローしたユーザーは喜んで電子メールアドレスを公開し、一部のユーザーは郵送費用の負担分として 0.99 ドルを実際に支払っています。

この詐欺攻撃の最大の目的は、数千人のフォロワーを持つアカウントを集め、それを自分で利用するか転売することでした。シマンテックによる調査中に、なりすましアカウントの一部に関連しているユーザー名で、アカウントピボットが実行されました。つまり、アカウントがスパム認定されないように、アバター、ユーザー名、ユーザープロフィールが変更されたのです。こうすると、詐欺師は同じアカウントを使い続けるか売却することができます。

figure4_9.png
図 4. Instagram のなりすましアカウントが、フォロワー数を減らして再登場

アカウントピボットの直後に、なりすましアカウントが再登場しましたが、フォロワー数は以前より少なくなっていました。なかには、「ハッキングされた」と称してしばらく待つように求めるアカウントまで現れています。

これらのアカウントが偽物であることは明らかですが、Instagram アカウントをフォローするだけで 1,000 ドルが手に入ると信じ込むユーザーは後を絶ちません。

以下のような予防対策を講じることをお勧めします。

ウソのような儲け話は、しょせんはウソだということを忘れないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????????????? Instagram ??

先週、Instagram を悪用する詐欺師から、宝くじに当選したと称して、その当選金をフォロワーに進呈すると騙る画像が投稿されました。詐欺師はユーザーを欺いてこの投稿を共有させ、個人情報を引き出したり、さらには詐欺師への送金を求めたりします。

この詐欺では、英国と米国の現実の宝くじ当選者になりすますために多数の Instagram アカウントが作成されました。そして、そのアカウントをフォローし、コメントと電子メールアドレスを残してくれたユーザーに 1,000 ドルずつ進呈すると謳っています。

figure1_20.png
図 1. 実際の宝くじ当選者になりすました Instagram アカウント

宝くじ当選者になりすましたアカウントの成功率はきわめて高く、5,000 ~ 10,000 人程度のフォロワーを獲得しています。

一定数のフォロワーを集めると、今度は当選者たちの「会計士」と称する人物の Instagram アカウントが登場します。この会計士が 1,000 ドルの送金を担当するということになっていますが、そこに罠が仕掛けられています。

figure2_19.png
図 2. 偽「会計士」のプロフィールが金銭を要求してくる

上の図では、「会計士」のプロフィールを名乗る人物が、大手の決済処理サービスを使って 0.99 ドルを送金するよう Instagram ユーザーに求めています。小切手を送るための郵送費用という名目です。

figure3_11.png
図 3. 宝くじ詐欺に引っかかってしまったユーザー

警戒すべき要素がたくさんあったにもかかわらず、この詐欺は成功を収めており、各アカウントが数千人のフォロワーを集めました。フォローしたユーザーは喜んで電子メールアドレスを公開し、一部のユーザーは郵送費用の負担分として 0.99 ドルを実際に支払っています。

この詐欺攻撃の最大の目的は、数千人のフォロワーを持つアカウントを集め、それを自分で利用するか転売することでした。シマンテックによる調査中に、なりすましアカウントの一部に関連しているユーザー名で、アカウントピボットが実行されました。つまり、アカウントがスパム認定されないように、アバター、ユーザー名、ユーザープロフィールが変更されたのです。こうすると、詐欺師は同じアカウントを使い続けるか売却することができます。

figure4_9.png
図 4. Instagram のなりすましアカウントが、フォロワー数を減らして再登場

アカウントピボットの直後に、なりすましアカウントが再登場しましたが、フォロワー数は以前より少なくなっていました。なかには、「ハッキングされた」と称してしばらく待つように求めるアカウントまで現れています。

これらのアカウントが偽物であることは明らかですが、Instagram アカウントをフォローするだけで 1,000 ドルが手に入ると信じ込むユーザーは後を絶ちません。

以下のような予防対策を講じることをお勧めします。

ウソのような儲け話は、しょせんはウソだということを忘れないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers Spoof Facebook Appearance and Promote India’s Aam Aadmi Party

Politicians are frequently featured on phishing sites and in light of the ongoing general election in India, phishers are starting to target Indian users by using a local politician and his party as bait. 

Symantec recently observed a phishing site which spoofs Facebook’s appearance and includes Arvind Kejariwal, the former chief minister of New Delhi and leader of the Aam Aadmi Party. The phishing site was hosted on servers based in Lansing, Michigan in the US. 

figure1_facebookspam.png
Figure 1. A fake Facebook “like” button and a picture of Arvind Kejariwal on the phishing site

As seen in the previous image, the phishing site, titled “Unite With Us Against Corruption”, uses a poster of the Aam Aadmi Party along with a fake Facebook “like” button. The site’s background image is a picture of the party’s leader Arvind Kejariwal and his latest Twitter tagline, which states that “Political revolution in India has begun. Bharat jaldi badlega.” The second sentence translates to “India will soon change”. 

After clicking on the “like” button, users are prompted to input their Facebook login credentials so that they can “like” the Aam Aadmi party page. 

figure2_facebookspam.png
Figure 2. Users are asked to input their Facebook login data to “like” the Aam Aadmi party page

The phishers also used a misleading login prompt in the phishing page. Instead of mentioning the Aam Aadmi Party, the page tells users to log in with their Facebook details to like cute baby pictures. Symantec has already seen a similar phishing site which used a picture of a young girl. Phishers frequently use the same template to host different applications but this time, they forgot to change the reference to cute baby pictures. After the user enters their login credentials, the phishing site redirects the user to an acknowledgment page. The Web page then asks the user to click another “like” button.

figure3_facebookspam.png
Figure 3. A login confirmation and the “like” button on the acknowledgement page

The email address entered in the previous login page is now displayed on the acknowledgement page. The “like” button is placed beside a fake number that claims to show the amount of likes the party has already gained. However, the button is just a dummy and does not perform any functions. If users fell victim to the phishing site by entering their personal data, phishers would have successfully stolen their confidential information for identity theft purposes.

Symantec advises Internet users to follow these best practices to avoid becoming victims of phishing attacks.

  • Check the URL in the address bar when logging into your account to make sure it belongs to the website that you want to visit
  • Do not click on suspicious links in email messages
  • Do not provide any personal information when replying to an email
  • Do not enter personal information in a pop-up page or window
  • Ensure that the website is encrypted with an SSL certificate by looking for a picture of a padlock image or icon, “https”, or the green address bar when entering personal or financial information
  • Use comprehensive security software, such as Norton Internet Security or Norton 360 to protect you from phishing and social networking scams
  • Exercise caution when clicking on enticing links sent through emails or posted on social networks

Phishers Spoof Facebook Appearance and Promote India’s Aam Aadmi Party

Politicians are frequently featured on phishing sites and in light of the ongoing general election in India, phishers are starting to target Indian users by using a local politician and his party as bait. 

Symantec recently observed a phishing site which spoofs Facebook’s appearance and includes Arvind Kejariwal, the former chief minister of New Delhi and leader of the Aam Aadmi Party. The phishing site was hosted on servers based in Lansing, Michigan in the US. 

figure1_facebookspam.png
Figure 1. A fake Facebook “like” button and a picture of Arvind Kejariwal on the phishing site

As seen in the previous image, the phishing site, titled “Unite With Us Against Corruption”, uses a poster of the Aam Aadmi Party along with a fake Facebook “like” button. The site’s background image is a picture of the party’s leader Arvind Kejariwal and his latest Twitter tagline, which states that “Political revolution in India has begun. Bharat jaldi badlega.” The second sentence translates to “India will soon change”. 

After clicking on the “like” button, users are prompted to input their Facebook login credentials so that they can “like” the Aam Aadmi party page. 

figure2_facebookspam.png
Figure 2. Users are asked to input their Facebook login data to “like” the Aam Aadmi party page

The phishers also used a misleading login prompt in the phishing page. Instead of mentioning the Aam Aadmi Party, the page tells users to log in with their Facebook details to like cute baby pictures. Symantec has already seen a similar phishing site which used a picture of a young girl. Phishers frequently use the same template to host different applications but this time, they forgot to change the reference to cute baby pictures. After the user enters their login credentials, the phishing site redirects the user to an acknowledgment page. The Web page then asks the user to click another “like” button.

figure3_facebookspam.png
Figure 3. A login confirmation and the “like” button on the acknowledgement page

The email address entered in the previous login page is now displayed on the acknowledgement page. The “like” button is placed beside a fake number that claims to show the amount of likes the party has already gained. However, the button is just a dummy and does not perform any functions. If users fell victim to the phishing site by entering their personal data, phishers would have successfully stolen their confidential information for identity theft purposes.

Symantec advises Internet users to follow these best practices to avoid becoming victims of phishing attacks.

  • Check the URL in the address bar when logging into your account to make sure it belongs to the website that you want to visit
  • Do not click on suspicious links in email messages
  • Do not provide any personal information when replying to an email
  • Do not enter personal information in a pop-up page or window
  • Ensure that the website is encrypted with an SSL certificate by looking for a picture of a padlock image or icon, “https”, or the green address bar when entering personal or financial information
  • Use comprehensive security software, such as Norton Internet Security or Norton 360 to protect you from phishing and social networking scams
  • Exercise caution when clicking on enticing links sent through emails or posted on social networks

Instagram Scam: Lottery Winners Impersonated to Offer Money for Followers

Over the last few days, Instagram scammers have been posting images offering fake lottery winnings to followers. They have convinced users to share the posts, give up personal information, and even send money back to the scammers.

In this scam, a number of Instagram accounts have been created to impersonate real-life lottery winners from the UK and US. These accounts claim to offer US$1,000 to each Instagram user who follows them and leaves a comment with their email address.

figure1_20.png
Figure 1. Instagram accounts impersonating real-life lottery winners

The accounts impersonating lottery winners have been extremely successful, and have gained anywhere from 5,000 to 100,000 followers.

Once they have amassed a certain number of followers, they reveal a secondary Instagram account belonging to their “accountant”, who is in charge of delivering the US$1,000 to users—with a catch.

figure2_19.png
Figure 2. Fake “accountant” profiles asking users for money

The previous figure shows the “accountant” profiles asking Instagram users to send US$0.99 through a large payment processing service to cover the postage fees for mailing out the checks.

figure3_11.png
Figure 3. Users who have fallen for the lottery scam

Even though a number of red flags were present for users, the scam has proven to be a success. Each account has gained thousands of followers, with users willingly divulging their email addresses, and some users sending scammers US$0.99 for the supposed postage fees.

The main goal of this scam campaign was to collect accounts with thousands of followers for personal use or resale. During our research, we also found that user names associated with some of the impersonation accounts had performed an account pivot. This means the avatar, user name, and user biography section were changed to preserve the account from being flagged for spam. This allowed the scammers to continue to use or sell the account.

figure4_9.png
Figure 4. Instagram impersonation accounts have reappeared with fewer followers

Shortly after the account pivot, the impersonation accounts reappeared, but with fewer followers than before. One of the accounts even claimed that it was “hacked” and asked followers to be patient.

It’s clear that these accounts are fraudulent, but users continue to believe that they will be given US$1000 just for following Instagram accounts.

Symantec advises users with the following precautions:

  • Do not believe everything you read, especially on social networking sites
  • Be skeptical when you come across such offers. As we have previously pointed out, free stuff on social networks is not free
  • Do not willingly give up personal information
  • Do not send money to somebody you do not know or trust

Always remember that if it sounds too good to be true, it is.

Facebook ???????????????????????

      No Comments on Facebook ???????????????????????

寄稿: Parag Sawant

フィッシング詐欺師は、ユーザーの重要な情報を手に入れるチャンスを増やすために、さまざまな計略を繰り出し続けています。シマンテックが最近確認したフィッシング攻撃の場合は、男性と女性のどちらが偉いかと質問する偽の投票サイトを通じてデータが集められていました。

フィッシングページは無料の Web ホスティングサイトを利用しており、Facebook ユーザーを標的にした偽の投票ページには、「WHO IS GREAT BOYS OR GIRLS?(男性と女性、どちらが偉い?)」という質問と[VOTE(投票)]ボタンがあります。ページには、投票結果を示す棒グラフも埋め込まれており、過去 4 年間の総得票数が示されます。このようなグラフがあることで、より本物らしく見えます。

figure1_1.jpg
図 1. 投票サイトへの登録を求める Facebook アプリケーション

最初のフィッシングページには、投票プロセスを開始するボタンがあります。このボタンをクリックすると、次の図のようにポップアップウィンドウが開き、ユーザーのログイン ID とパスワードを入力するよう求められます。

figure2_0.jpg
図 2. ユーザーのアカウント情報の入力を求めるポップアップウィンドウ

ポップアップウィンドウには、男性か女性のどちらかに投票するためのボタンと、投票を送信するボタンも表示されます。フィールドに必要な情報をすべて入力し終わると、投票した情報を確認するための確認ページに進みます。

figure3.jpg
図 3. ユーザー情報を入力し終わると、投票の確認メッセージが表示される

ここで最初のページに戻ろうとして、投票数が定期的に増えていることに気付きました。先ほど 4,924,055 だった数値が、今見ると 4,924,096 になっているのです。

figure4.jpg
図 4. 変化する前と変化した後の投票数の比較

今回のフィッシング詐欺師は以下の URL を使っており、そのサブドメインからこれがアプリケーションであることがわかります。
[http://]smartapps.[削除済み].com

このサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

偽アプリケーションを餌に使う手口は珍しいものではありません。インターネットを利用する際には、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • アカウントにログインするときに、アドレスバーの URL を確かめ、間違いなく目的の Web サイトのアドレスであることを確認する。
  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップウィンドウに個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク(画像やアイコン)、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Fake Voting Campaign Steals Facebook Users’ Identities

Contributor: Parag Sawant

Phishers continuously come up with various plans to enhance their chances of harvesting users’ sensitive information. Symantec recently observed a phishing campaign where data is collected through a fake voting site which asks users to decide whether boys or girls are greater.

The phishing page, hosted on a free Web hosting site, targets Facebook users and contains a fake voting campaign, “WHO IS GREAT BOYS OR GIRLS?” along with the “VOTE” button to register votes. The page is also embedded with pair of bar charts representing voting ratio and displays the total votes gained for the last four years. These give a more legitimate feel to the fake application.

figure1_1.jpg
Figure 1. The Facebook application asks  users to register their votes

The first phishing page contains a button to initiate the voting process. After the button is clicked, a pop-up window appears, asking for a user’s login ID and password, as shown below:

figure2_0.jpg
Figure 2. A popup window requesting for user account information

The pop-up also contains two option buttons to vote for either male or female, and a button to submit the vote. After all the details and fields have been entered and filled up, the page then redirects the user to an acknowledgement page to confirm his or her voting information.

figure3.jpg
Figure 3. A voting confirmation message is displayed after user information is entered

We then tried returning to the first page and found that the vote count increases periodically. The number was previously 4,924,055 but has now increased to 4,924,096.

figure4.jpg
Figure 4. A comparison of the previous vote count and the current vote count

The phishers used the following phishing URL, and a subdomain to indicate that it is an application:
http://smartapps[DOMAIN NAME].com

If any user falls victim to the site, the phishers would then have successfully stolen personal user information for identity theft purposes.

The use of fake applications as bait is not uncommon, and Symantec advises Internet users to follow these best practices to avoid becoming victims of phishing attacks:

  • Check the URL in the address bar when logging into your account to make sure it belongs to the website that you want to visit
  • Do not click on suspicious links in email messages
  • Do not provide any personal information when replying emails
  • Do not enter personal information in a pop-up page or window
  • Ensure that the website is encrypted with an SSL certificate by looking for the padlock image/icon, “HTTPS”, or the green address bar when entering personal or financial information
  • Use comprehensive security software, such as Norton Internet Security or Norton 360, to be protected from phishing and social networking scams
  • Exercise caution when clicking on enticing links sent through emails or posted on social networks

??????????????????????????

      No Comments on ??????????????????????????

今年 1 月の後半、熱烈なファンであればコーチェラフェスティバルのチケットを買い求めたことでしょう。コーチェラフェスティバルは、2 週連続で週末の 3 日間をかけて毎年開催されるイベントですが、これを狙った詐欺師によるフィッシング攻撃が、2 月末まで続いていました。

コーチェラフェスティバルのチケット販売を扱っている Front Gate Tickets 社は 2 月末、チケットの購入者に電子メールを送り、このフィッシング攻撃について以下のように警告しています。

「このフィッシングでは偽の Web サイトが使われています。コーチェラフェスティバルのチケットをお買いになった方が Front Gate のアカウントにアクセスするためのログインページに酷似したデザインですが、ユーザー名とパスワードの情報を取得するために偽装されたものです」

この電子メールではさらに、フィッシング用のリンクが掲示板やスパムメールでも出回っていること、攻撃者はチケット購入者が掲示板に投稿した電子メールアドレスを収集していたことなどについても説明が続きます。

この攻撃が仕掛けられたのは、コーチェラフェスティバルで入場券代わりになるリストバンドが参加者宛てに出荷された直後です。それを考えると、攻撃者はチケット購入者のアカウントにアクセスし、登録されている郵送先住所や電話番号、電子メールアドレスを変更してリストバンドを詐取しようとしていたに違いありません。実際、コーチェラフェスティバルの掲示板でも、あるユーザーからこれを裏付ける投稿がありました。

「私はアカウント情報を元に戻すことができましたが、登録されている住所や電話番号、電子メールアドレスは変更されていました。念のため確認したおかげでチケットを失わずに済んだのはラッキーでした」

今回の事件は、デジタル時代の音楽ファンにとってよい教訓になります。コーチェラフェスティバルのチケット進呈を謳う偽の Facebook ページを作るだけだった詐欺が、わずか 2 年足らずのうちに、直接フィッシングメールで参加者を標的にして、リストバンドを盗み出すという手口にまで発展したのです。

今年開催されるのは、もちろんコーチェラフェスティバルだけではありません。今後数カ月の間に、サスカッチ、ボナルー、アウトサイドランズ、ロラパルーザなどさまざまな音楽フェスティバルが米国内だけでも予定されており、世界中ではさらに多くの音楽フェスティバルが開催されます。

フェスティバルに参加する方は、掲示板のスレッドで電子メールアドレスを共有しないことをお勧めします。どうしても共有する必要がある場合には、掲示板に用意されている非公開メッセージの機能を使ってください。

チケットの購入後、参加予定のイベントについて詳しい情報を確認するためと称して、リンクを掲載し、ログインを求めてくる電子メールを受け取った場合には、むやみにリンクをクリックせず、新しいブラウザまたはタブを開いて公式サイトにアクセスしてください。電子メールに疑わしい点がある場合には、チケット販売者や音楽フェスティバルの公式サイトで連絡先の電話番号や電子メールアドレスを探し、確認を依頼してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Music Festival Attendees: Beware of Phishing Scams

In late January this year, eager fans purchased tickets for Coachella, an annual two-weekend, three-day music festival but were later targeted by scammers in a phishing campaign that persisted up till the end of February.

Front Gate Tickets, the company responsible for handling the festival’s ticketing had sent an email to ticket buyers at the end of February warning users on the phishing campaign stating:

“The phishing involved a fraudulent website designed to look like the login page for Coachella ticket buyers to access their Front Gate accounts, built in an attempt to capture username and password information.”

The email went on to explain that the phishing links were circulated on message boards and email campaigns, and that the perpetrators had harvested the email addresses of ticket buyers who posted them publicly on message boards.

The timing of this campaign happened right before the wristbands used for entry into Coachella were shipped out to attendees. Based on this, it’s clear that the perpetrators of the campaigns had intended to access accounts of ticket buyers to modify the mailing address, phone number and email on file in order to have the wristbands shipped to them. One user on the Coachella message board confirmed this to be the case:

“I was able to get my information put back on the account yet they changed the address, phone and email on file. Glad I double checked and didn’t lose my tickets!”

This incident is an important lesson for the modern music fan. In just two years, scammers have gone from merely creating fake Facebook pages offering tickets to Coachella to directly targeting attendees with phishing emails to steal their wristbands.

Coachella is not the only music festival happening this year. In the coming months, festivals like Sasquatch, Bonnaroo, Outside Lands, Lollapalooza and others will be taking place throughout the United States and even more festivals happening in other parts of the world.

Symantec Security Response encourages festival attendees to not share their email addresses on message board threads. If sharing is necessary, use the board’s built-in private messaging function.

If you’re a ticket buyer and you receive an email with a link asking you to log in to find out more information about your upcoming event, do not click on it blindly. Instead, open up a new browser or tab to visit the official website to log in. If the email seems suspicious, find a contact number or email address on the ticket distributor’s or music festival’s website and seek their assistance instead.

?????????????????? Google Docs ????

      No Comments on ?????????????????? Google Docs ????

毎日、膨大な数のフィッシングメールが飛び交っていますが、最近 Google Docs や Google ドライブを使うユーザーを標的とした詐欺メールは、その巧妙さが際立っていました。

この詐欺メールでは「Documents」という至ってシンプルな件名が使われており、そこに記載されているリンクをクリックして Google Docs にある重要な文書を確認するように促します。

リンク先が Google Docs でないことは言うまでもありません。確かに Google のサイトには移動しますが、そこで実際に表示されるのは Google Docs のログインページに偽装したページです。

phish_site_image.png

図.Google Docs に偽装したフィッシング用ログインページ

偽のページは、実際に Google のサーバー上でホストされており、SSL を介して提供されているため、さらに本物らしく見えます。詐欺師は単に、Google ドライブアカウントの中にフォルダを作成し、公開設定をしてファイルをアップロードしているにすぎません。そのうえで、Google ドライブのプレビュー機能を使って共有アクセス可能な URL を取得し、それをメッセージに掲載しているのです。

このログインページは、Google の各種サービスで共通して使われているので、多くの Google ユーザーにとって見慣れたものでしょう(「One account. All of Google.(アカウント 1 つですべての Google サービスを。)」の下のテキストには、今アクセスしているサービスが示されますが、ほんのわずかの違いなので、ほとんどの人は気付きません)。

Google Docs のリンクにアクセスしたときに、このようなログインページが表示されるのはごく当たり前なので、深く考えずにログイン情報を入力してしまう人は多いかもしれません。

[Sign in]をクリックすると、ユーザーのログイン情報が、危殆化した Web サーバー上の PHP スクリプトに送信されます。

このページから今度は本当の Google Docs 文書にリダイレクトされるので、攻撃の全体がかなりの説得力を持っています。Google アカウントはフィッシング詐欺師にとって価値のある標的です。Gmail や Google Play など多くのサービスへのアクセスに使われるため、これを利用すれば Android アプリやコンテンツも購入できるからです。

シマンテック製品をお使いのお客様はこの脅威から保護されています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。