Tag Archives: phishing

Google Docs Users Targeted by Sophisticated Phishing Scam

      No Comments on Google Docs Users Targeted by Sophisticated Phishing Scam

We see millions of phishing messages every day, but recently, one stood out: a sophisticated scam targeting Google Docs and Google Drive users.

The scam uses a simple subject of “Documents” and urges the recipient to view an important document on Google Docs by clicking on the included link.

Of course, the link doesn’t go to Google Docs, but it does go to Google, where a very convincing fake Google Docs login page is shown:

phish_site_image.png

Figure. Google Docs phishing login page

The fake page is actually hosted on Google’s servers and is served over SSL, making the page even more convincing. The scammers have simply created a folder inside a Google Drive account, marked it as public, uploaded a file there, and then used Google Drive’s preview feature to get a publicly-accessible URL to include in their messages.

This login page will look familiar to many Google users, as it’s used across Google’s services. (The text below “One account. All of Google.” mentions what service is being accessed, but this is a subtlety that many will not notice.)

It’s quite common to be prompted with a login page like this when accessing a Google Docs link, and many people may enter their credentials without a second thought.

After pressing “Sign in”, the user’s credentials are sent to a PHP script on a compromised web server.

This page then redirects to a real Google Docs document, making the whole attack very convincing. Google accounts are a valuable target for phishers, as they can be used to access many services including Gmail and Google Play, which can be used to purchase Android applications and content.

Symantec customers are protected against this threat.

????????????????????????????

      No Comments on ????????????????????????????

以前のブログで、成功率を上げるためにスパマーがメッセージを次々と変更している事例についてお伝えしました。その中で解説したように、同じスパム活動で使われるメッセージが、音声メールの通知から、小売業者の配達不能通知へ、さらには電力会社を装った案内へと変更されていたのです。リンクをクリックすると、Trojan.Fakeavlock を含む .zip ファイルがダウンロードされます。しかし、スパマーもこうした攻撃経路ではユーザーがなかなか騙されなくなってきたことに気付いたようで、この攻撃に 2 つの手口を追加しています。最初はランダムで無関係のように見えましたが、目的は明らかに共通しています。

1 つ目は米国各地の裁判所を騙る手口です。

Court Funeral Email 1 edit.png

図 1. 米国の裁判所に偽装したスパムメール

2 つ目は葬儀場を騙る手口です。

Court Funeral Email 2 edit.png

図 2. 葬儀場に偽装したスパムメール

この 2 つの手口に共通するのは、どちらも大至急メッセージを開封してリンクをクリックするように急かしている点です。どちらも緊急性を感じさせる文面であり、たいていの人は裁判所からの通知は無視できないでしょうし、いったい誰の葬儀なのか知りたくて葬儀への招待リンクもクリックしてしまうでしょう。後者の場合は、葬儀の日取りが当日か翌日になっているので、余計に急かされることになります。

スパマーはこうして工夫を凝らしている一方で、やはり同じミスを繰り返しています。以前と同様、ヘッダーの情報が本文と食い違っているのです。以下に示す例でも、ヘッダーでは裁判所からの通知を装っていながら、本文は電力会社からの案内になっています。

Court Funeral Email 3 edit.png

図 3. ヘッダーと本文が食い違っているスパムメール

このスパム活動は今でも、乗っ取った URL(所有者の知らないうちに侵入を受けてスパムコンテンツをホストしている Web サーバー)をコールトゥアクションとして利用しています。以下に示すように、スパムコンテンツを秘匿するために使われているディレクトリパスもさまざまです。

Court Funeral Email 4.png

図 4. スパムコンテンツを秘匿するために使われているディレクトリパス

グラフの左半分は色分けが比較的単純ですが、右半分になると同じ日でも色が複雑に分かれています。12 月から 1 月初旬に掛けての期間と比べると、このスパムに使われているディレクトリパスの種類が増えています。

このスパム活動はまだ終わりそうになく、スパマーはこれからも新たな経路を考案するものと思われます。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

What Do Court Email and Funeral Email Have in Common?

      No Comments on What Do Court Email and Funeral Email Have in Common?

In this blog detailing how spammers continue to change their messages in order to increase their success rate, we looked at the evolution of the same spam campaign from missed voicemail messages to spoofing various retailers, and then spoofing utility statements. Clicking on the link led the users to a download for a .zip file containing Trojan.Fakeavlock. Attackers may have realized that those attack vectors no longer entice recipients, so spammers have introduced two new schemes for this campaign that appear to be random and unrelated at first, but they do share a common goal.

The first scheme spoofs various courts around the country:

Court Funeral Email 1 edit.png

Figure 1. United States court spam email

The second scheme spoofs a funeral home:

Court Funeral Email 2 edit.png

Figure 2. Funeral home spam email

What do these two vectors have in common? They both urge the recipients to open the message and quickly click on the links. There is a sense of urgency in both messages; usually people do not want to ignore a message from a court, and they would probably want to see if they recognize the person mentioned in the funeral invitation link. In the latter case, the funeral is scheduled to be on the same day or next day, which increases the urgency even more.

While the spammers continue to try their best, they keep making the same mistake. They usually send poorly crafted messages where the header does not match the information in the body. Here is one such example where the header indicates that the message is from a court when the body is a utility statement:

Court Funeral Email 3 edit.png

Figure 3. Spam email where the header and body do not match

This spam campaign continues to use various hijacked URLs (a compromised web server hosting spam content without the owner’s knowledge) as call-to-actions. Various directory paths are used to hide this spam content as seen here:

Court Funeral Email 4.png

Figure 4. Directories used to hide spam content

The left half of the graph shows relatively simple colors, compared with the right half where there are more colors being represented per day. This indicates that the spammer is using a greater variety of directory paths compared to December and early January.

This particular spam run is probably not over yet, and the spammer may find another clever vector to utilize. However, Symantec constantly monitors spam attacks to ensure that users are kept up-to-date with information on the latest threats.

???????????????

      No Comments on ???????????????

スパム送信で特に頻繁に使われる手口のひとつが、「かんじきスパム」とも呼ばれる一撃離脱タイプのスパムです。スパム対策フィルタをできるだけ多くすり抜けられるように、多数の IP アドレスとドメインを用意して、スパムを大量送信するとすぐに新しい IP アドレスとドメインに移行するという手法に特徴があります。一度使われた IP アドレスとドメインが再利用されることは、ほとんどありません。

一部のスパマーは、スパム活動を通じて似たようなパターンを繰り返す傾向があります。今回のブログでは、私が「差出人かんじきスパム(From-Name snowshoe)」と名付けた特定のかんじきスパム活動についてお伝えします。メッセージには、スパム活動を同じカテゴリに分類できる特徴がいろいろありますが、最も顕著な特徴は、「差出人」フィールドに使われているすべての電子メールアドレスで、ユーザー名として実名が使われていることです。

  • 差出人: [削除済み] <Leila.Day@[削除済み]>
  • 差出人: [削除済み] <CharlotteTate@[削除済み]>
  • 差出人: [削除済み] <Diana.Pope@[削除済み]>
  • 差出人: [削除済み] <SamuelLambert@[削除済み]>
  • 差出人: [削除済み] <Jackson.Garza@[削除済み]>
  • 差出人: [削除済み] <JohnathanParsons@[削除済み]>
  • 差出人: [削除済み] <EliasTaylor@[削除済み]>

これが「差出人かんじきスパム」と名付けた所以で、興味深い特徴が 2 つあります。1 つ目の特徴は送信のタイミングであり、数カ月間に及ぶこのスパム活動では平日にしかメッセージが送信されていないことが確認されています。

Spammers Office 1.png

図 1. 2013 年 10 月 16 日以降に確認された 5,900 万通を超えるスパムメッセージ

このタイミングを詳しく調べたところ、このスパムが送信されるのは太平洋標準時の午前 6 時から午後 7 時までに限られていることがわかりました。一定の時間帯に、しかも平日だけに送信されているという事実から、この活動は業務の一環として行われていると考えられます。

2 つ目の特徴は、このスパムの実行に使われた IP アドレスにあります。前述したように、かんじきスパムは同じ IP アドレスを再利用しないのが一般的ですが、送信者の IP アドレスを解析したところ、このスパムメッセージは同じ企業が所有する複数の IP アドレスから送信されていたことがわかりました。所有者は、ペンシルベニア州スクラントンに本拠を置く「Network Operations Center」という企業で、スパムを送信することで広く知られています。

1 月になると、同じタイプのスパムメッセージが、別の企業の所有する IP アドレスから送信され始めました。そのひとつが「Nth Air, Inc.」です。

Spammers Office 2.png

図 2. Nth Air, Inc など他の企業が所有する IP アドレスから送信されたスパムのサンプル

Spammers Office 3.png

図 3. Nth Air, Inc の IP アドレスを示すメールヘッダーの一部

「Network Operations Center spam」というキーワードをオンラインで検索すると、スパムについて論じられている検索結果が多く見つかりますが、Nth Air, Inc について同様に検索してもそれほど多くの結果は見つかりません。実際には、プレスリリースにも書かれているとおり、Nth Air, Inc はかつて正規の WiMAX プロバイダだったようです。同社について報じた最近のニュースも見つからなかったため、私はこの企業はもう存在しないのではないかと考えました。一方で、ARIN の記録には、Nth Air, Inc の本拠地がカリフォルニア州サンノゼであると書かれているので、同社について詳しい情報が得られることを期待してオフィスを訪ねてみることにしました。

Spammers Office 4.png

図 4. Nth Air, Inc の所在地とされる住所にある建物を訪問

ARIN に載っている一室を訪ねてみましたが、別の会社に使われていました。

Spammers Office 5.png

図 5. 70 号室の所有者は現在、Sutherland Global Services となっている

掲載されている番号に電話を掛けても通じません。netops@nthair.com 宛てに電子メールを送信しても、「the recipient does not exist(該当する受信者は存在しません)」というエラーになります。どうにもお手上げです。

「Nth Air, Inc」への訪問が失敗に終わったので、今度は「LiteUp, Inc」を訪ねてみました。

Spammers Office 6.png

図 6. LiteUp, Inc の IP アドレスから送信されたスパムのサンプル

Spammers Office 7.png

図 7. LiteUp, Inc の IP アドレスを示すメールヘッダーの一部

ARIN のリストによると、LiteUp, Inc の所在地はカリフォルニア州バークレーです。該当する住所に足を運びましたが、そこに LiteUp, Inc は見つかりませんでした。

Spammers Office 8.png

図 8. LiteUp, Inc の所在地として掲載されている住所にあったのはオートバイショップ

この 2 つの事例では、少なくとも ARIN の記録によれば、実在しない会社が所有する IP アドレスがスパマーに利用されていたということになります。

今回はスパマーにも、またスパマーを支援している可能性のある人物にも会えませんでしたが、このようなスパムメッセージがエンドユーザーの受信ボックスに届かないように、シマンテックは厳重な警戒を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

My (Failed) Visits to Spammers’ Offices

      No Comments on My (Failed) Visits to Spammers’ Offices

One of the most popular methods of spamming is snowshoe spam, also known as hit and run spam. This involves spam that comes from many IP addresses and many domains, in order to minimize the effect of antispam filtering. The spammer typically sends a burst of such spam and moves to new IP addresses with new domains. Previously used domains and IP addresses are rarely used again, if ever.

Some spammers like to use a similar pattern across their spam campaigns. This blog discusses a particular snowshoe spam operation that I have labeled “From-Name snowshoe”. While there are other features in the message that allow the campaigns to be grouped into the same bucket, the messages’ most distinct feature is that all of the email addresses that appear in the “from” line use real names as their usernames. 

  • From: [REMOVED] <Leila.Day@[REMOVED]>
  • From: [REMOVED] <CharlotteTate@[REMOVED]>
  • From: [REMOVED] <Diana.Pope@[REMOVED]>
  • From: [REMOVED] <SamuelLambert@[REMOVED]>
  • From: [REMOVED] <Jackson.Garza@[REMOVED]>
  • From: [REMOVED] <JohnathanParsons@[REMOVED]>
  • From: [REMOVED] <EliasTaylor@[REMOVED]>

This From-Name snowshoe campaign had two interesting traits. The first was the timing. Over the course of a few months, I have noticed that this spam operation only sent messages on weekdays.

Spammers Office 1.png

Figure 1. Over 59 million spam messages have been identified since October 16, 2013.

After further investigating this timing, we discovered that the spam is only sent between 6am and 7pm Pacific Time. Coupled with the fact that messages were only sent during weekdays, this suggested that the operation could be part of a business.

The second trait was the IP addresses that were used for this spam run. As noted above, typical snowshoe spam does not return to the same IP addresses. However, analysis into the senders’ IP addresses revealed that the messages were coming from multiple IP addresses that were owned by the same entity. This organization is called “Network Operations Center,” which is based in Scranton, Pennsylvania, and it’s a well-known spam operation.

Last month, this spam operation began to send the same type of spam messages from IP addresses owned by other entities. One of them was “Nth Air, Inc.”. 

Spammers Office 2.png

Figure 2. Spam sample sent from IP addresses owned by other entities, including “Nth Air, Inc

Spammers Office 3.png

Figure 3. Email header snippet showing Nth Air, Inc’s IP address

While a simple online search for “Network Operations Center spam” produced many results discussing spam, a similar search for Nth Air did not have as many results. In fact, the company appears to have been a legitimate WiMAX provider in the past, as seen in this press release. I was unable to find news about the company in recent times, which led me to believe that the organization may no longer exist. However, ARIN records indicated that the company was based in San Jose, California, so I decided to visit its offices in the hopes of finding out more information about the organization.

Spammers Office 4.png

Figure 4. Visiting the building with address listed on Nth Air

I went to the suite that was listed online, but another company was using it.

Spammers Office 5.png

Figure 5. Suite 70 is now occupied by Sutherland Global Services

I called the phone number listed online to no avail. My email to netops@nthair.com bounced back because, “the recipient does not exist.” Bummer.

Since my visit to “Nth Air, Inc” did not work out as planned, I turned to “LiteUp, Inc”.

Spammers Office 6.png

Figure 6. Spam sample from LiteUp, Inc’s IP address

Spammers Office 7.png

Figure 7. Email header snippet showing LiteUp, Inc’s IP address

ARIN listings indicated that the company was located in Berkeley, California, so I went there for a visit. Unfortunately, I was unable to find LiteUp at the listed address.

Spammers Office 8.png

Figure 8. Address listed by LiteUp. It was a motorcycle store instead.

So that makes two instances of spammers using IP addresses owned by companies that do not exist, at least according to ARIN records.

I was unable to meet the spammers, or those who could be assisting spammers, but we are keeping a close watch to ensure that these spam messages do not reach end users’ inboxes.

????????????Safer Internet Day??????????????????

      No Comments on ????????????Safer Internet Day??????????????????

safer_internet_day.png

10 月の全米サイバーセキュリティ意識向上月間(National Cyber Security Awareness Month)や、2 月のインターネット安心デー(Safer Internet Day)に限らず、日常的にオンラインの安全性を意識することは常に大切です。日常生活へのテクノロジの浸透が進み続けている今、自身の情報やデジタル ID を確実に管理するためのセキュリティ機能や設定を使用してください。

時代はソーシャル
今日のインターネットで最も大きい潮流は、ソーシャルです。今この瞬間にも私の友人たちは、Pinterest に結婚式のアイデアをピンする、Instagram にカフェラテの写真を投稿する、Snapchat で今日の服装を送る、Foursquare でレストランにチェックインする、Vine で飼い猫の動画を投稿する、Facebook で赤ちゃんの写真を共有する、Twitter で『ウォーキング・デッド』プレミアの予想を投稿するといった行為に勤しんでいます。こういったサービスは、人気が高くなればなるほど、詐欺やスパム、フィッシング攻撃の標的となる頻度も高くなります。

設定の確認
シマンテックセキュリティレスポンスは、各種のソーシャルネットワークやソーシャルアプリのプライバシー設定とセキュリティサービスを十分に理解しておくことを推奨しています。

  1. 公開か非公開か。デフォルトでは、多くのソーシャルサービスでは更新情報を公開するよう推奨されています。プロフィールを公開にするか非公開にするかを全体設定として選択するサービスがほとんどですが、さらに詳細なオプションで投稿ごとに公開か非公開かを設定できるサービスもあります。投稿する前に、各サービスでプライバシー設定を確認してください。
  2. 強いパスワードとパスワードの使い回し。サービスごとに強いパスワードを使い、複数のソーシャルネットワークで同じパスワードを使い回さないようにしてください。
  3. 利用できる場合には 2 要素認証を設定。Facebook や Twitter など一部のサービスには、アカウントのセキュリティ強化対策として 2 要素認証が提供されています。サービスにログインするにはパスワードを入力するのが普通ですが、これはユーザーがすでに知っている情報です。2 要素認証を利用すると、ユーザーの手元にある情報も必要になります。通常、これはランダムに生成される数値すなわちトークンの形で提供され、SMS やサービス専用のモバイルアプリ内の乱数生成機能を通じて携帯電話に配信されます。したがって、パスワードが漏えいした場合でも、生成された 2 要素認証トークンがないと犯罪者はログインすることができません。

敵を知る
ソーシャルネットワークやソーシャルアプリのユーザーにとって最大の敵は、ソーシャルアカウントを乗っ取ってスパムを拡散し、アンケートの記入やアプリのインストールを求めてくるスパマーや詐欺師です。

  1. 無料提供は無料ではない。詐欺師の多くは、アンケートに答えたり、アプリをインストールしたり、あるいはソーシャルネットワークで投稿を共有したりすると無料のデバイスやギフトカードを獲得できると謳ってユーザーを誘導しようとします。それほどうまい話はあるはずもなく、話に乗ってしまうと、個人情報を与えてしまうことになりかねません。
  2. フォロワーや「いいね」を集める。フォロワーや「いいね」の数を増やそうとすれば、その代償を払わされるのが常です。偽フォロワーに対する料金を請求されるか、アカウント情報を差し出してソーシャルボットネットの一部に組み込まれてしまうのがオチです。そこまでする意味のある行為ではありません。
  3. 話題のトピックは悪用の温床。スポーツイベントや人気スター有名人の死亡記事人気テレビのシーズンまたはシリーズの最終回、あるいは最新製品の発表まで、詐欺師やスパマーは常に話題を先取りし、ユーザーを陥れるための会話にそれを盛り込もうと狙っています。これはもう避けられないものと諦めて、リンクを不要にクリックしないように用心してください。
  4. 自分の画像や動画なのか。パスワードを狙う詐欺師は、知らず知らずのうちにパスワードを渡してしまうよう巧みにユーザーを誘います。それがフィッシングです。リンクをクリックして、ソーシャルネットワークサービスのログインページと思われる Web ページに進んだとしても、うっかりパスワードを入力しないでください。アドレスバーをよく見ると、「Twitter」あるいは「Facebook」という単語を含む長い別の URL になっていませんか。ブラウザで新しいタブを開いて、twitter.com や facebook.com と手動で入力し、すでにログインしていないかどうか確認してみてください。たいていの場合は、すでにログイン状態のはずです。

知識は力なり
新しいソーシャルネットワークサービスやソーシャルアプリが人気を集めて主流になったとき、詐欺師やスパマーがそれを黙って見逃すことはありません。手間を惜しまずに、各サービスで提供されているプライバシー設定やセキュリティ機能を理解することが、オンラインでの安全とセキュリティの向上の第一歩です。また、情報を狙っている相手や、情報を狙ってユーザーを欺こうとするそのさまざまな手口を知れば、リンクをクリックするとき、投稿を共有するとき、あるいはパスワードを入力するときのそれぞれで、安全かどうかを適切に判断できます。

各種ソーシャルネットワーク上の友人や家族にもこのブログを共有して、注意を呼び掛けてください。

最新のソーシャルネットワーク詐欺に関する情報は、Twitter で @threatintel をフォローするか、セキュリティレスポンスブログをご購読ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Día de Internet Seguro – Protegiendo tus Redes Sociales

      No Comments on Día de Internet Seguro – Protegiendo tus Redes Sociales

safer_internet_day.png

Sea el Día de Internet en mayo o el Día de Internet Seguro en febrero, siempre es importante proteger nuestra información cuando estamos conectados en Internet. A medida que la tecnología se incorpora en nuestra vida diaria, existen configuraciones y opciones de seguridad que pueden utilizarse para garantizar que nuestra información e identidad digital estén bajo control.

Vivimos en un mundo social

En Internet, la fuerza más dominante hoy día es la social. En este momento, muchos amigos míos están compartiendo fotos con ideas para bodas en Pinterest, editando y compartiendo fotos de alimentos en Instagram, intercambiando imágenes de vestidos por redes sociales, haciendo check-in en restaurantes con la aplicación Foursquare, grabando videos cortos de sus mascotas con Vine, compartiendo fotos de sus hijos recién nacidos en Facebook o tuiteando sobre el estreno de la nueva temporada de The Walking Dead o los estrenos en cartelera. Así, a medida que esta forma de comunicarnos y estos servicios se hacen cada vez más populares, también se vuelven un objetivo más frecuente de intentos de fraudes cibernéticos, spam y phishing.

Conoce tus configuraciones

Symantec Security Response aconseja a los usuarios que se familiaricen con las configuraciones de privacidad y los servicios de seguridad que ofrece cada red social y las aplicaciones que usan, a continuación algunos puntos importantes.

  1. ¿Público o privado? Por default, muchos de estos servicios invitan al usuario a compartir sus noticias de manera pública. Algunos ofrecen privacidad como una configuración global para hacer un perfil público o privado, mientras que otras dan más opciones, permitiendo de esta manera hacer las publicaciones individuales públicas o privadas. Asegúrate de revisar estas configuraciones antes de hacer alguna publicación o aceptar los términos del servicio.
  2. Contraseñas seguras y reutilización de contraseñas. Utiliza una contraseña segura para cada servicio y asegúrate de no reutilizar o repetir contraseñas en tus redes sociales.
  3. Si es posible, implementa una doble autenticación. Algunos servicios como Facebook y Twitter ofrecen una autenticación de dos factores como una medida de seguridad adicional para tu cuenta. Normalmente, para iniciar sesión en un servicio, ingresamos una contraseña, que es algo común que la mayoría de los usuarios utiliza. Al habilitar una autenticación de dos factores, además de una clave, se introduce un dato que tenemos solo nosotros, generalmente en forma de un número generado aleatoriamente, o token[i] que pueden enviarse a nuestro teléfono móvil por SMS, o un generador de números aleatorio dentro de los servicios de la aplicación móvil. De esta manera, si nuestra contraseña está en riesgo, el ladrón necesitará el token de autenticación de dos factores generado antes de iniciar sesión, lo que hace más difícil que alguien entre a nuestra cuenta.

Conoce a tu enemigo

Los grandes enemigos de los usuarios de redes sociales y aplicaciones son los creadores de spam y estafadores cibernéticos que quieren secuestrar nuestras cuentas de correo o redes sociales para enviar correos no deseados, para lograrlo, buscan convencernos para completar encuestas o instalar aplicaciones y así capturar nuestra información, por ello toma en cuenta lo siguiente.

  1. Las cosas gratis no son gratis. Muchos estafadores intentarán seducirte con la idea de que puedes ganar accesorios o tarjetas de regalo gratis si completas una encuesta, instalas una aplicación o si compartes una publicación en tu red social. Mediante estas técnicas y así de fácil son muchos los usuarios que podrían revelar o compartir su información personal.
  2. ¿Quieres más seguidores y “Me gusta”? Siempre hay un precio que pagar al tratar de conseguir más seguidores o “Me gusta”. Ya sea pagando dinero para tener seguidores y/o “Me gusta” falsos, u otorgar voluntariamente los datos de la cuenta y convertirse de esta manera en un botnet[ii] social. Estos esquemas no valen la pena si ponen en riesgo nuestra información.
  3. Los trending topics son aprovechados para los engaños. Ya sean eventos deportivos, noticias sobre gente famosa o avisos sobre finales de temporada de series de televisión, los creadores de spam y los estafadores en línea saben lo que es popular y encontrarán la manera de incorporarse en la conversación para engañar a los usuarios a hacer lo que ellos quieren.  Esto se relaciona con la curiosidad humana, así que piensa dos veces antes de hacer clic en los vínculos o ligas incluidas en mensajes.
  4. ¿Esta foto o video es tuyo? Los estafadores quieren tu contraseña y harán todo lo posible para convencerte de que se las entregues sin notarlo. Esto se denomina phishing. Si haces clic en un link y lo te lleva a un sitio web que parece una página de inicio de sesión de una red social, no escribas tu contraseña y mejor revisa la barra de dirección para asegurarte de que no sea solo un URL largo que tiene la palabra Twitter o Facebook en él. Abre una nueva ventana y escribe en la barra de navegación la dirección twitter.com o facebook.com para ver si tu sesión sigue activa y asegurarte de que estás entrando en la página correcta.

Conocimiento es poder

Comprendamos que cuanto más populares sean los nuevos servicios de redes sociales y las aplicaciones, los creadores de spam y los estafadores estarán más cerca de ellos. Si nos tomamos el tiempo para entender las configuraciones de privacidad y las características de seguridad adicionales que ofrecen estos servicios, daremos el primer paso para estar más seguros y protegidos en línea. Además, si sabemos quién solicita nuestra información y conocemos las distintas maneras de engaños para robar nuestros datos, podremos decidir mejor en qué ligas hacer clic, qué publicaciones compartir y dónde es seguro teclear o ingresar nuestro nombre de usuarios y/o contraseña.

¿Quieres ayudar a otros usuarios de redes sociales? Comparte esta publicación con amigos y familiares que también participan en las redes sociales que utilices.

[i] Un token de seguridad (también token de autenticación o token criptográfico) es un dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación.

 

[ii] Botnet es igual a hablar de acciones maliciosas que se materializan a través de un recurso delictivo, y que en esencia siempre supone una actitud hostil de parte de quien las administra.

Protecting Your Social Accounts for Safer Internet Day

      No Comments on Protecting Your Social Accounts for Safer Internet Day

safer_internet_day.png

Whether it’s National Cyber Security Awareness Month in October or Safer Internet Day in February, it’s always important to remember to be safe online every day. As technology continues to become more integrated into our daily lives, there are settings and security features that can be used to ensure your information and digital identity remain under your control.

It’s a social world
The most dominating force on the Internet today is social. Right now, I have friends pinning their wedding ideas, instagramming lattes, snapchatting outfits, checking into restaurants on Foursquare, vining videos of their cats, sharing newborn baby photos on Facebook, and tweeting in anticipation of The Walking Dead premiere. As these services become more and more popular, they are targeted more frequently by scams, spam, and phishing attempts.

Know your settings
Symantec Security Response advises social users to familiarize themselves with the privacy settings and security services offered by each of these social networks and applications.

  1. Public or private? By default, many of these services encourage you to share updates publicly. Most offer privacy as a global setting to make your profile public or private, while some offer more options, allowing you to make individual posts public or private. Make sure you review these settings before posting to these services.
  2. Strong passwords and password reuse. Use a strong password for each service and be sure not to reuse passwords across your social networks.
  3. If available, set up two-factor authentication. Some services like Facebook and Twitter offer two-factor authentication as an added measure of security for your account. Normally, to login to a service, you input a password, which is something you know. Using two-factor authentication introduces something you have, usually in the form of a randomly generated number or token that can delivered to your phone through SMS or a number generator within the services’ mobile application. This way, if your password is compromised, the thief will need the generated two-factor authentication token before they can login.

Know your enemy
The biggest enemies of most social networking and application users are the spammers and scammers that want to hijack your social accounts to peddle spam, convince you to fill out surveys, or install applications.

  1. Free stuff is not free. Many scammers will try to entice you with the idea that you can win free gadgets or gift cards if you fill out a survey, install an application, or share a post on your social network. It just isn’t that easy and by doing so, you could give away your personal information.
  2. Want more followers and likes? There is always a price to pay for trying to get more followers and likes. Whether that’s paying money for fake followers and likes or willingly giving up your account credentials and becoming part of a social botnet. These schemes aren’t worth it.
  3. Trending topics are ripe for abuse. Whether it’s sporting events or pop stars, the death of celebrities, popular television season or series finales, or the newest gadget announcement, scammers and spammers know what’s popular and will find a way to insert themselves into the conversation to trick users into doing their bidding. Know that this is inevitable and think twice before blindly clicking on links.
  4.  Is this picture or video of you? These scammers want your password and they’ll attempt to convince you to unknowingly give it to them. This is called phishing. If you click on a link and it takes you to a webpage that looks like a login page for a social networking service, don’t just type in your password. Check the address bar to make sure it’s not some long URL that has the word Twitter or Facebook in it. Open up a new browser tab and manually type in twitter.com or facebook.com to see if you’re still logged in. More often than not, you probably are.

Knowledge is power
Understand that as new social networking services and applications become popular in the mainstream, the scammers and spammers will not be far behind. If you take the time to understand the privacy settings and additional security features offered to you on these services, you are taking the first step towards being safer and more secure online. Additionally, if you know who is after your information and the various ways they will try to trick you into giving up that information, you can make better decisions about what links to click, what posts to share, and where it is safe to type in your password.

Want to help your fellow social users? Share this post with your friends and family on your various social networks.

To keep up-to-date with the latest social network scams, follow us on Twitter @threatintel and subscribe to our blog.

Twitter ?? 100 ????????????????????

      No Comments on Twitter ?? 100 ????????????????????

先日のスーパーボウルで話題になった Esurance 社のコンテストへの参加者を狙って、詐欺師はさっそく攻撃を仕掛けています。スーパーボウル終了直後に CM を放映した同社は、#EsuranceSave30 というハッシュタグを使って投稿した Twitter ユーザーの中から抽選で 1 名に 150 万ドルを進呈すると発表しました。シマンテックセキュリティレスポンスはその直後から、このコンテストに対する注目度の高さを利用する目的で Esurance 社の偽 Twitter アカウントが大量に作成されていることを確認しました。

偽 Twitter アカウントの多くは、Esurance 社のブランド名のバリエーションとロゴを使って、同社と正規に関連しているように思わせていました。偽アカウントでは、以下のような Twitter 名が使われています。

  • EsuranceWinBig
  • EsuranceGW
  • Essurance
  • Esurrance
  • Esurnace
  • Esuranc

ロゴと画像を使って Esurance 社のアカウントに見せかけようとしているアカウントはほかにもありますが、名前はブランドと無関係です。たとえば @HeIpfulTips というアカウントがあります。この「HeIp」の中の「I」は小文字の「エル」ではなく大文字の「アイ」です。

2012 年 12 月に作成されたこのアカウントは、数千人のフォロワーを集めていますが、コンテスト中に「アカウントピボット」を実行しました。アバター、プロフィール、ヘッダー画像を変更して、Esurance 社のコンテストの一環であるかのように見せかけたのです。このアカウントにはさらに数千人のフォロワーが増え、コンテスト関連のツイートは一晩で 40,000 回以上もリツイートされました。

figure1_15.png
図 1. Esurance 社のコンテストとの関連性を偽装した Twitter アカウント

同日の午後に入ると、Esurance 社のツイートから十分なフォロワーを獲得したからか、このアカウントは再びアカウントピボットを実行して、Life Hacks という名前に戻りました。

figure2_14.png
図 2. Esurance 社に偽装したアカウントは、数千人のフォロワーを獲得後、元の名前に戻った

これと同類のアカウントの多くは、リツイートやフォロワーを獲得することを特に目指しましていますが、シマンテックはそれ以上の悪用があることを確認しています。たとえば、Esurance 社を騙る偽アカウントの中には、コンテストの勝率を上げるためと称してフォロワーに寄付金を募るものもありました。

figure3_9.png
図 3. コンテストの勝率を上げると称して寄付金を募る Twitter アカウント

この活動はただちに閉鎖されましたが、その時点ですでに 261 ドルの寄付金が集まっていました。

こうしたアカウントは、フォロワーにフィッシングリンクを送りつけ、コンテストの参加者を増やすために Twitter にログインするよう求めるためにも使われている可能性があります。

そもそも、このようなアカウントが作成された目的は何なのでしょうか。コンテストの人気やそのハッシュタグに便乗することで、一部のアカウントは 1,000 人から 100,000 人ものフォロワーを集めました。その後、これらのアカウントの所有者は、本当の Twitter フォロワーを集めているアカウントを探し求めている個人に、偽のアカウントを売ることができます。そして、アフィリエイトスパムに利用されるのかもれしません。

マーケティングの目的で Twitter を利用するブランドが増えていますが、「認証済み」あるいはブランドに公式に関連付けられている Twitter アカウントからのコンテストルールを探して、その更新情報をフォローするようにしてください。今回の場合、Esurance 社は Web サイトに公式ルールFAQ を公開しています。

Twitter 上でユーザーの誤解を誘おうとしている疑いがあるアカウントは、Twitter 社に報告してください。

ソーシャルメディア詐欺について詳しくは、シマンテックセキュリティレスポンスチームの Twitter アカウント(@threatintel)をフォローし、Twitter 詐欺に関するこれまでのブログもお読みください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????? 2014 FIFA ???????????????????

      No Comments on ????????? 2014 FIFA ???????????????????

寄稿: Sean Butler

サッカーワールドカップ開催の年が始まった今、この世界的イベントに関連するキャンペーンが急増するのは当然のことでしょう。ワールドカップをめぐる興奮と熱狂を当て込んで、マーケティングや販促のキャンペーンが盛んになるものと予想されます。正規のマーケティングメールや販促メールに混じって、無料チケットを約束するメールや、コンテストや宝くじで新車が当選したと謳うメッセージが届くかもしれません。

嘘みたいなうまい話ですが、嘘みたいだという部分だけは的を射ています。

詐欺師は、今年の 6 月にブラジルで開催される FIFA ワールドカップに伴う熱狂を悪用しようと待ち構えています。万一にも詐欺に引っかかってしまうと、深刻な事態に陥りかねません。詐欺の被害者として銀行口座を空っぽにされてしまうだけでなく、コンピュータにマルウェアを仕掛けられてしまう恐れもあります。このマルウェアは、トロイの木馬をダウンロードしてユーザーの個人情報を盗み出す可能性もあれば、さらにはコンピュータに侵入してボットネットに組み込む機能まで備えているかもしれません。

シマンテックはすでに、FIFA ワールドカップに関連する詐欺メールをいくつか確認しています。シマンテックが発見した最初のサンプルは、FIFA ワールドカップを餌にしてマルウェアへのリンクを含む電子メールです。

この電子メールのヘッダーは以下のとおりです。

差出人: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@<ドメイン名>.com

件名: Copa do Mundo FIFA 2014

このヘッダーを翻訳すると次のようになります。

差出人: Congratulation you were the winner of a pair of tickets(ペアチケットの当選おめでとうございます) atendimento.promo5885631@<ドメイン名>.com

差出人: FIFA World Cup 2014(2014 FIFA ワールドカップ)

World Cup 2014 1 edit.png

図 1. FIFA ワールドカップに関連するマルウェア攻撃メール

この電子メールを翻訳すると以下のような文面になります。

You are the winner of a pair of tickets to the FIFA World cup 2014 Brazil!(2014 FIFA ワールドカップブラジル大会のペアチケットが当選しました!)

Print your e-Ticket copy and collect the ticket from the ticket center in your city(電子チケットを印刷して、お近くのチケットセンターでチケットをお受け取りください)

Print Ticket(チケットを印刷)

Check out the address of the ticket center in your city here(お近くのチケットセンターの住所確認はこちら)

このメールを受信したユーザーは、リンクをクリックして試合のチケットを印刷するよう促されます。ところが、このリンク先は eTicket.rar というファイルをダウンロードする悪質な URL になっていて、このファイルに eTicket.exe という名前の実行可能ファイルが圧縮されています。

World Cup 2014 2 edit.png

図 2. リンクをクリックすると悪質なファイルがダウンロードされる

次に、thanks.exe という名前のファイル(Infostealer.Bancos)が以下の場所に投下され、Windows を起動するたびに実行されます。

Programs/Startup/thanks.exe

このトロイの木馬はバックグラウンドで動作を続けながら、セキュリティ対策をすり抜け、金融口座などの個人情報を盗み出してログに記録し、後でリモートの攻撃者にそのデータを送信します。このマルウェアは、ブラジルの金融機関を標的にするようにカスタマイズされていることも確認されました。

電子メール内で参照されているすべての Web ページについてウイルスなどの脅威がないかどうかを確認するシマンテックの「リンク追跡」技術によって、URL の最後に含まれるマルウェアが正しく識別されるので、シマンテック製品をお使いのお客様は、この攻撃からすでに保護されています。次に検出定義が作成され、異なる URL だが同じマルウェアにつながる別のリンクを含む電子メールが今後見つかった場合には、感染しているのと同じように扱って検疫処理されます。

別の詐欺では、CIELO Brazil の偽広告が利用されています。CIELO 社は、ブラジルでクレジットカードとデビットカードを扱っている企業です。

World Cup 2014 3 edit_0.png

図 3. 2014 FIFA ワールドカップに関連するフィッシングメール

この電子メールを翻訳すると以下のような文面になります。

Congratulations, you have been chosen to take part in the Cielo Cup 2014.(おめでとうございます。2014年 シエロカップの参加資格に当選しました)

To promote World Cup 2014, you must register to compete for prizes worth 20 thousand Reais,(2014 ワールドカップを宣伝するために、20,000 レアル相当の抽選に登録してください)

Tickets, accommodation in exclusive places during the 2014 world cup and you could also win a Fiat Doblo 0 Km. (Sic)(チケットと、2014 ワールドカップ開催期間中の豪華宿泊券のほか、さらに走行距離 0 km のフィアットドブロが当たるかも(原文ママ))

Don’t waste time! PURCHASE Register right now at no extra cost and avail the benefits of our promotion.(さあ、今すぐお買い上げを! 今すぐ登録すれば、追加のご負担なくこの広告の特典をご利用いただけます)

Join this Mega Promotion and compete for these Super Prizes.(このメガ特典に参加して、特別プレゼントを手に入れよう)

Click here to unlock your promo code(プロモーションコードの申請はこちらをクリック)

[Click Here](ここをクリック)ボタンをクリックすると、ユーザーは以下のリンクにリダイレクトされます。

http://cielobrasil2014l.fulba.com/[削除済み]/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html

リダイレクト先の Web ページでは、ユーザー名、生年月日、ブラジルの納税者番号(CPF)を入力するよう求められます。

World Cup 2014 4 edit.png

図 4. 偽装された Web ページで個人情報を要求される

要求どおりに情報を入力すると、今度は図 5 のようなページにリダイレクトされ、銀行口座情報が要求されます。

World Cup 2014 5.png

図 5. 偽装された Web ページで銀行口座情報を要求される

さらに詳しく調べたところ、このフィッシング詐欺で使われている conteudo.casavilaverde.com というドメインは、ハッキングされたものであることが判明しました。

World Cup 2014 6 edit.png

図 6. ハッキングされてフィッシング詐欺に使われているドメイン

最後に挙げる 3 つ目のサンプルは、ナイジェリア詐欺です。

World Cup 2014 7.png

図 7. FIFA ワールドカップを餌にした詐欺メール

この電子メールには、大手ブランドが協賛する宝くじと称するファイルが添付されています。最終的にユーザーの個人情報が要求される点は変わりません。また、この電子メールは正規の内容であると見せかけようとしていますが、これまでに紹介した他のサンプルに比べると、いかにも素人然としています。メール本文には画像も URL なく、Word 文書が添付されているだけというところが、誰の目から見ても疑わしい作りです。

シマンテックの高度な監視システムでこれらの詐欺メールは識別されているため、お客様に届くことはありません。

最初の 2 つのサンプルはポルトガル語が書かれ、ブラジル在住のユーザーが標的になっていましたが、カスタマイズして別の国や地域、他の言語に変更するのはごく簡単です。世界的なサッカー人気を考えれば、この手のスパムメールに多くのユーザーが引っ掛かってしまう可能性はあるかもしれません。

世界的なイベントは、興味や関心を持つ人々の数が多いことから潜在的な被害者数も多くなるため、詐欺師にとっては大きな稼ぎのチャンスです。そのため、こうした詐欺は 2014 ワールドカップが近づくほど増えてくるものとシマンテックは予測しています。

今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
  • 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
  • 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
  • セキュリティソフトウェアを常に最新の状態に保つ。
  • スパム対策シグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。

詐欺師の手口に騙されないように、嘘のようなうまい話の場合は特にご注意ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。