Tag Archives: phishing

????????????????????????????????

      No Comments on ????????????????????????????????

寄稿: Binny Kuriakose

「Hello world(ハローワールド)」、当社はデジタル対応です。そんな謳い文句はもう過去の話になりました。今では、スピードに対する要求から超特急の対応が迫られています。なにしろ、ボタンをひとつクリックするだけで、望みの Web ページを瞬時に用意できる時代です。実際、インターネットがもたらすコスト効果の高いビジネスと世界的な事業展開を狙って、企業は次々と Web に移行しています。そうした傾向に舌なめずりしているのがスパマーです。スパマーにとって、何も知らない無防備な獲物だらけになるクリスマスほど最高の狩猟シーズンはほかにはありません。

スパマーは、クリスマスシーズンに展開されるビジネスを体系的に吟味してさまざまなカテゴリを利用しています。年の瀬に迎えるクリスマスシーズンの祝い方を 7 月初めという早い時期から計画する人向けの宿泊施設関連のスパムから、帰宅前に大慌てでショッピングに走る駆け込み組向けのスパムまで、実に用意周到です。

  • クリスマス休暇を計画中の人々を狙った宿泊施設関連スパムには、次のような例があります。

差出人: Christmas Luxury <[name]@[domain].com>(特別なクリスマス <[名前]@[ドメイン].com>)
件名: A journey of Christmas luxuries(クリスマスに豪華なご旅行を)

figure1_5.png

図 1. 宿泊施設関連スパムのプレビュー

  • 手持ち資金に不足している人々を狙ったスパムの例には、ナイジェリア詐欺タイプの宝くじ広告があります。電子メールのヘッダーは以下のとおりです。

件名: XMAS PROMOTION!!(クリスマス特集!!)
差出人: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>(”[ブランド名] JACKPOT COMPANY INC.” <[名前]@[ドメイン].com>)

figure2_3.png
 

図 2. 「ナイジェリア詐欺」タイプのスパムのプレビュー

  • 何か心に残るギフトを贈りたいと考えている人々を狙ったスパムには、おもちゃやチョコレート、装飾品の偽広告の例があります。電子メールのヘッダーは以下のとおりです。

差出人: “[Brand name] giving an oil painting” <[name]@[domain].com>(”[ブランド名] から油絵を贈ります” <[名前]@[ドメイン].com>)
差出人: Christmas Luxury <mail@[domain].com>(特別なクリスマス <mail@[ドメイン].com>)
差出人: Chocolates Inquiry <mail@[domain].com>(チョコレートをお探しなら <mail@[ドメイン].com>)
差出人: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>(”ホリデーシーズンの装飾品” <Holiday.Ornaments@[ドメイン].com>)
件名: Exclusively Designed Christmas Ornaments(特別デザインのクリスマス装飾品)
件名: Delicious Christmas Chocolates !(おいしいクリスマスチョコレート!)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: A journey of Christmas luxuries(クリスマスの特別旅行)
件名: as a Christmas gift”[Brand name](クリスマスギフトに “[ブランド名] はいかが)

figure3_2_0.png

図 3. 名前入りギフトスパムのプレビュー

  • このクリスマスこそ高級腕時計やデザイナー商品を買いたいと思って早期から備えている人々を狙ったスパムの例には、各種の模造商品の投げ売り広告があります。電子メールのヘッダーは以下のとおりです。

差出人: “Early x-mas shopping” <[name]@[domain].com>(”早めのクリスマスショッピング” <[名前]@[ドメイン].com>)
件名: [Brand name] Smart Phone Clearout. 55% off MSRP([ブランド名] のスマートフォンを在庫一掃。メーカー希望小売価格の 55% オフ)
件名: Thinking about Christmas?(クリスマスのご予定はもうお考えですか)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: Great for Christmas(クリスマスに最適)
差出人: “Join us AT “[Brand name]” <[name]@[domain].com>(”ご一緒に “[ブランド名]” はいかがですか<[名前]@[ドメイン].com>)
件名: Christmas coming soon!! . Are you ready for the hot selling reason.(クリスマスはもうすぐ!! 大ヒット商品のそのワケを知るチャンス)
差出人: “[Brand name] <[name]@[domain].com>(”[ブランド名] <[名前]@[ドメイン].com>)

figure4_3.png

図 4. 模造品スパムのプレビュー

Figure5_0.png

図 5. 各種商品関連スパムのプレビュー

  • クリスマスを美しく迎えたいと思っている人々を狙ったスパムの例には、今すぐ痩せると謳うダイエット関連広告があります。電子メールのヘッダーには、以下のようなおなじみの煽り文句が使われています。

件名: BY Christmas Drop 23lbs(クリスマスまでに 10kg 減量)
件名: Look 23lbs thinner Christmas(10kg スリムになってクリスマスを迎えましょう)
件名: Did you see me on television Thursday?(木曜日のテレビはご覧になりましたか?)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)

Figure6_0.png

図 6. 医薬品関連スパムのプレビュー

  • いつまでも若い人々は、次のようなヘッダーの出会い系スパムに狙われているかもしれません。

差出人: “Date Someone” <[name]@[domain].com>(”デートの相手を探そう” <[名前]@[ドメイン].com>)
差出人: “Senior Dating” <[name]@[domain].com>(”シニア専用出会い系” <[名前]@[ドメイン].com>)
件名: Find a hot Christian this Christmas in your area(今年のクリスマスは、お近くでホットな出会いを)
件名: Find a local love to cuddle with this Christmas(今年のクリスマスは、地元で見つけた恋人を抱きしめよう)

Figure7.png

図 7. 出会い系スパムのプレビュー

  • お子さんにサンタクロースからの名前入り特製手紙が届くと称するアンケートもあります。電子メールのヘッダーは以下のとおりです。

差出人: Santa <Santa@[domain].com>(サンタ <Santa@[ドメイン].com>)
件名: Letters from Santa for your child(サンタからお子様への手紙)

Figure8.png

図 8. 子ども向けの名前入りギフトカードスパムのプレビュー

Figure9_0.png

図 9. クリスマススパムの件数を示した円グラフ

全体的に今年のクリスマススパムはテーマの範囲が広いようです。目的は、魅力的な謳い文句で好奇心をくすぐり、リスクの高い行動に至るユーザーや、安全ではないシステム、中途半端なソリューションを悪用することにあります。スパマーの関心は依然として、あらゆる人々の傾向を十分に理解して悪用し、ユーザーを誘導して重要な情報を引き出したり、怪しい Web ページにアクセスさせたりすることに集中しています。

電子メールの細かい部分に注意を払いながら、以下の点に注意してそれが正規のものかどうかを判断してください。

  • これまでに登録した、または登録を解除した覚えのあるサービスですか。
  • 同様の手口に引っかかってしまった友人から転送された電子メールではありませんか。
  • 電子メールの差出人、送信状況、内容は本物ですか。

ホリデーシーズンに電子メールを経由してオンラインで商品を購入する場合には、十分に警戒することをお勧めします。シマンテックは、マルウェアやスパムを遮断する保護対策を提供していますが、皆さんもウイルス対策のシグネチャを定期的に更新して、最新の脅威から身を守るようにしてください。保護対策を怠らず、けっして無制限に個人情報を公開しないようにしてください。

安全で楽しいクリスマスをお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

From The Early Lark to the Tardy Owl, Spammers Intend Catering To All this Christmas

Contributor: Binny Kuriakose

‘Hello world’ we are digital! Well that was ages ago. Today the need for speed has made us extra fast. A click of a button and the desired webpage is up and running in an instant. In fact, organizations are switching to the Web because of cost effective business and global presence the Internet provides. This phenomenon has made predators smack their lips. What better environment to make a kill than Christmas, with the unaware and the vulnerable abound!

With a systematic study of business done during Christmas, spammers have leveraged a plethora of categories since early July, ranging from hospitality-related spam for those who plan early on how to celebrate Christmas later in the year, to last minute shoppers who scramble to buy gifts before rushing home. Now, that is a well-planned spread.

  • For the vacation planner, there is a hospitality-related spam, with headers reading:

From: Christmas Luxury <[name]@[domain].com>
Subject: A journey of Christmas luxuries

figure1_4.png

Figure 1. A preview of hospitality spam

  • For the one in need of cash, there is the odd Nigerian type lottory promotion. The email header reads:

Subject: XMAS PROMOTION!!
From: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>

figure2_2.png

Figure 2. A preview of a Nigerian-type spam

  • For those intending to gift something memorable, there are blocks, chocolates and ornaments to gift. The emails have the following headers:

From: “[Brand name] giving an oil painting” <[name]@[domain].com>
From: Christmas Luxury <mail@[domain].com>
From: Chocolates Inquiry <mail@[domain].com>
From: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>
Subject: Exclusively Designed Christmas Ornaments
Subject: Delicious Christmas Chocolates !
Subject: ★ Attention Early Birds
Subject: A journey of Christmas luxuries
Subject: as a Christmas gift”[Brand name]

figure3_1.png

figure3_2.png

Figure 3. A preview of personalized gifts spam

  • For the early birds who prefer to buy watches and designer products this Christmas, there are a range of replica products at throw away prices with the following email headers:

From: “Early x-mas shopping” <[name]@[domain].com>
Subject: [Brand name] Smart Phone Clearout. 55% off MSRP
Subject: Thinking about Christmas?
From: “[Brand name]” <[name]@[domain].com>
Subject: ★ Attention Early Birds
Subject: Great for Christmas
From: “Join us AT “[Brand name]” <[name]@[domain].com>
Subject: Christmas coming soon!! . Are you ready for the hot selling reason.
From: “[Brand name] <[name]@[domain].com>

figure4_1.png

Figure 4. A preview of a replica spam

Figure5.png

Figure 5. A preview of product spam

  • For those who intend to get in shape for Christmas, there are weight-loss related spam that claim to get you thinner instantly! The headers have the typical enticements as shown below:

Subject: BY Christmas Drop 23lbs
Subject: Look 23lbs thinner Christmas
Subject: Did you see me on television Thursday?
From: “[Brand name]” <[name]@[domain].com>

Figure6.png

Figure 6. A preview of medicine-related spam

  • For the young at heart, there is dating spam with the following headers:

From: “Date Someone” <[name]@[domain].com>
From: “Senior Dating” <[name]@[domain].com>
Subject: Find a hot Christian this Christmas in your area
Subject: Find a local love to cuddle with this Christmas

Figure7.png

Figure 7. A preview of dating spam

  • For your kids, there are personalized surveys with Santa’s greetings, specially crafted for your needs. The email header reads:

From: Santa <Santa@[domain].com>
Subject: Letters from Santa for your child

Figure8.png

Figure 8. A preview of personalized spam email for kids

Figure9.png

Figure 9. A pie chart depicting Christmas spam volume

Overall, the spam panorama this Christmas looks pervasive. The aim is to harness curiosity laced with fantastic offers that can exploit unhealthy user practices, unsecured systems and half-baked solutions. The focus of spammers continue to be on how to best understand and exploit human tendencies and then to entice users to either compromise sensitive information or visit a dubious webpage.

Symantec advises users to pay attention to details while judging the genuineness of the mail by considering the following:

  • Did you subscribe or unsubscribe to such offers in the past?
  • Is it one of those forwarded mails a friend has been ensnared into?
  • Is the sender, the context and content of the mail authentic?

We encourages users to be alert during this festive season while dealing with online offers through emails. Symantec has protection in place to stop malware and spam and advise users to regularly update antivirus signatures to stay protected from latest threats. Protect yourself and limit the amount of your personal information on the public domain.

Symantec wishes you a safe and merry Christmas.

??????????????????????

      No Comments on ??????????????????????

ロシア語のスパムに見られる最新の傾向として、スパマーは一攫千金話の手口を使い始めています。今回のサンプルでは、バイナリオプション取引で簡単にお金が儲かるという謳い文句が使われています。

シマンテックが確認したサンプルには、人目を引く件名を使うという典型的なスパムの特徴が見られます。毎月膨大な金額を稼いでいる人がいると煽って、スパムを受け取ったユーザーの注意を引きつけようとしています。

このスパムは、ロシアで最大の無料電子メールサービス mail.ru から送信されており、アカウント名は、件名に関連している人物の年齢を示唆しています。ヘッダーを翻訳すると次のような内容です。

件名: $3700 a month – this retiree making more than you?(毎月 3700 ドル。定年退職しているのに、あなたより稼いでるって?)
差出人: pensioner.vladimir @mail.ru

これは特に、多くの人々が散財しがちなホリデーシーズンには巧妙な手口です。

figure_0.jpg

図. 年金生活者が大金を稼いでいると謳うスパムメールのサンプル

電子メールの本文には、サマラ地区の年金生活者がバイナリオプションを使って膨大な収入を得ているという広告が掲載され、詳しいことを知りたい場合はハイパーリンクをクリックするように書かれています。リンク先は実際には乗っ取られたドメインであり、2008 年に maxuz.com という Web デザイン会社によって登録されたものでした。このドメインは、主に他のドメインへのリダイレクトに使われています。binarytraders.ru という別のドメインはもっと新しく、2013 年 8 月に登録されたばかりです。この手のスパム専用に作成されたと思われます。このドメインのメインページには、バイナリオプション取引の魅力が書かれ、詳しい手順を説明するビデオも紹介されています。そのうえで、バイナリオプションは今インターネット上で利用できる最も有利な金儲けの手段であると付け加えています。

シマンテックはこのスパムを遮断していますが、ユーザーの皆さんもクリスマスシーズンにはいつも以上に警戒し、一攫千金話の手口にはくれぐれもご注意ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers leverage Binary Options trading hype

      No Comments on Spammers leverage Binary Options trading hype

The latest trend in Russian language spam shows that spammers have started promoting MMF (Make Money Fast) schemes where money can easily be made with the use of Binary Options trading.

The sample observed by Symantec has the usual, spam traits including a “catchy” subject which highlights a large sum of money someone is making every month, to grab the attention of spam recipient.

The spam is sent from mail.ru, the largest free email service in Russia, with the account name stating the age of the person linking it to the subject line. The header is as followed when translated into English: 

Subject: $3700 a month – this retiree making more than you?
From: pensioner.vladimir@mail.ru

This is quite a good trick especially before the festive season when many people are stretched with finances.

figure.jpg

Figure. A sample of spam email which highlights a pensioner making a lot of money

The body of the message advertises Samara region pensioner’s high income made with the help of Binary Code, and the user is then asked to click on hyperlink to get more information. The hyperlink is in fact a hijacked domain, registered in 2008 which belongs to web design company maxuz.com. It is mainly used for redirection to another domain.

The other domain named binarytraders.ru is registered more recently in August 2013 and is likely to have been created specifically for this kind of spam. The domain’s main page has a list of advantages on why one should be involved in Binary Code trading along with a video with full instructions. It also adds that Binary Options is currently the biggest money making tool available on the internet.

Symantec has blocked this spam, but we wish to remind users to be more alert this Christmas season and beware of quick money schemes.

?? Twitter ??: Twitter ????????????

      No Comments on ?? Twitter ??: Twitter ????????????

12 月 2 日、多くの Twitter ユーザーが騙されて、@VerifiedReport または @MagicReports という名前の偽の Twitter アカウントをフォローしてしまうという事例がありました。どちらも、ユーザーと報道機関やジャーナリストとの間で Twitter 社が行っている実験の一部であると称し、多数の Twitter ユーザーをフォローしながら次のようにツイートしています。「This is a Twitter experiment. We are changing the way users interact with journalists and news organizations.(これは Twitter 実験です。ユーザーとジャーナリストや報道機関との対話方法を変えようと試みています。)」
 

Twitter Exp 1.png

図 1. @VerifiedReport に関する MagicRecs からの通知
 

多くの場合、この 2 つのアカウントがユーザーの目にとまったきっかけは、@MagicRecs という正規の Twitter アカウントからの通知でした。
 

Twitter Exp 2.png

図 2. Twitter の実験的アカウント MagicRecs
 

MagicRecs は、Twitter 社が作成した実験的アカウントであり、「ユーザーのネットワークで何か興味をそそることがあったとき、個別対応したお勧め情報をダイレクトメッセージ(DM)として送信」します。このサービスは、Twitter のモバイルアプリの機能として最近統合され、Twitter 社によると「フォローしているお友達が立て続けに、ある人をフォローしたり、特定のツイートをお気に入りに登録したりリツイートした場合に、その動きを知らせるプッシュ通知を受け取ることが可能になりました」

@MagicRecs を利用したことがあるユーザーはそれを信頼しているので、詐欺師が正規サービスの信用を利用して偽の実験をでっちあげようとするのは当然のことと言えます。

なかには、この 2 つのアカウントが正規のものかどうか疑ったユーザーもいましたが、それ以外のユーザーは、特に @MagicRecs にお勧めされた後では、Twitter 社の従業員まで含めてこのアカウントをフォローしてしまいました。

 

.@verifiedreport は、セレブの電話番号を教えてくれるためのものなの? pic.twitter.com/gyZW16gbtX

— Taylor Lorenz (@TaylorLorenz) 2013 年 12 月 2 日

 

Twitter 社はその後、この 2 つのアカウントを停止しましたが、他にもまだ疑わしいアカウントが残っていて活動を続けています。@MagicFavs、@MagicSmacks、@MagicSext などがそれで、いずれも @MagicRecs によってお勧めされ、1,000 人近いフォロワーがいます。

シマンテックは、どちらのアカウントも DM を通じてリンクを送信しようとは試みていないことを確認しています。これらのアカウントが作成された意図は依然として不明ですが、少なくとも、新たな手口を試し続ける詐欺師が存在するということを思い出させる役には立っています。その新たな手口で、詐欺師は無警戒な Twitter ユーザーを欺いてリンクをクリックさせ、ログイン情報を盗み出したり、アフィリエイトプログラムの手法を利用して金銭を詐取したりすることを狙っているのです。

@MagicRecs のような正規のサービスを利用する場合でも、フォローするアカウントについては注意してください。特に Twitter 社が所有するアカウントであると称している場合には、Twitter で認証済みのアカウントかどうかを確認する必要があります。疑わしい様子がある場合、不正なアカウントである確率はやはり高いということを忘れないようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????

      No Comments on ????????????????????????????

ワードサラダは、ベイジアンスパムフィルタを回避するためにスパマーが考案した手法です。スパマーの教科書に載るような古典的な手口ですが、この戦術も最先端のスパム対策フィルタリング技術によって、効果が激減しています。

ベイジアンポイズニングの一種であるワードサラダは、まったく無関係な単語が並んだ文字列です。ごく正常で、一般の文章でも見かけるような単語だけが使われているので、ベイジアンフィルタからすれば、ワードサラダを用いた電子メールには、正常なデータが大量にあるにすぎません。ワードサラダがよく使われるのは HTML 形式です。無意味なタグで URL が分断されているため、スパムと思しき URL をアナライザで追跡するのが困難になります。ワードサラダでは、最新ニュースや間近に迫ったイベントなど最新のキーワードを追加するのが最近の傾向です。

映画『ワイルド・スピード』シリーズへの出演で知られるポール・ウォーカーさんの逝去も、スパマーが悪用している最近の一例です。ポール・ウォーカーさんの悲報の数時間後には、「PAUL WALKER」という名前をワードサラダに使った「かんじきスパム」、つまり一撃離脱タイプのスパムが確認されています。ファンがやきもきしながら検死報告を待っていたこともあって、彼の名前は検索キーワードとしても上位を占めています。当初は、命を取り留めたという誤報も流れたほどでした。

figure1_3.png

図 1. ワードサラダで「PAUL WALKER」というキーワードを使った電子メールの本文

該当するスパムは、このワードサラダ部分を除けば、ポール・ウォーカーさんに関するニュースとはまったく無関係です。プレビューされるのは、テレビや電話、インターネットの広告スパムであり、件名は以下のとおりです。

件名: Cheap Cable-TV, Internet & Phone – Free Equipment, Premium Channels & Install(ケーブルテレビ、インターネット、電話を格安で – 機材も設置も有料チャンネルも今なら無料)

差出人: ~CABLETVSpecialS* <[name]@[domain].com>(~CABLETVSpecialS* <[名前]@[ドメイン].com>)

figure2_1.png

図 2. スパムのプレビュー

ポール・ウォーカーさんを悼む一方で、これもスパマーがスパムを拡散するためにはどんな手段もいとわないという格好の例であることを忘れないようにしてください。

ポール・ウォーカーさんに謹んで哀悼の意を表します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????????????????

      No Comments on ??????????????????

クリスマスシーズンは、いろいろなものが緩みがちな季節です。それが「なぜ」かは明白ですし、「どこ」かといえば財布のひもに決まっています。

笑いごとではなく、計画を立てて支出を見直しましょう。手持ちの資金に限りがあることは自分が一番よくわかっていますが、あなたの次にその価値をわかっているのは、あなたのことをいろいろと詮索している何者かです。その手口は驚くほど簡単です。ちょっとした欲や、ほんの少しの不安、わずかばかりの緊急性を煽り立てるだけで、固い決心などすぐに吹き飛んでしまいます。うかうかと騙されてしまった直後に後悔しても後の祭りです。クリスマスに向けて一所懸命に貯めていた大切なお金を一瞬にして盗み取られてしまいます。ここまでの話が遠回しに思えてピンとこなかった場合でも、次のようなフィッシングのサンプルを少し解析してみればよくわかるでしょう。

フィッシングメールのヘッダーは以下のとおりです。

件名: [Brand name] is giving you a chance to shop for free!([ブランド名] で無料のお買い物ができるチャンス!)
差出人: “[Brand name] Card” [name]@[domain].com(”[ブランド名] カード” [名前]@[ドメイン].com)

figure1_1.png
図 1. クリスマスを狙うフィッシング攻撃に使われているスパムメール

この電子メールは、有名な金融機関から送られてきたように見え、クリスマス向けに「無料クーポン券」を進呈すると謳っています。また、クーポン券を受け取るためと称して「Kindly Click here now(ここをクリックしてください)」と書かれたリンクも含まれており、2013 年 12 月 31 日までの期間限定だと書かれています。

このクーポン券はユーザーが確認した後に送られてくるという点に特に注意してください。つまり、このクーポン券を受け取るには、まずクリックする必要があるということです。ためらわずにクリックしてしまうことは簡単ですが、まず用心しなければなりません。クリスマスともなれば、至るところ詐欺のワナだらけです。

金銭を伴う取引には十分に注意し、不審な点がないかどうか確認したうえで、確実に安全だとわからない限り、電子メールに記載されたリンクはクリックしないでください。騙されないように、電子メール中のリンクが本当に記載どおりの金融機関のものであることを確かめる必要があります。パスワードは定期的に変更し、予測のできない強力なものを使用してください。また、パスワードを他人に知られないようにしてください。

こうした宣伝文句は魅力的ですが、結局は金銭的な被害を受けることになるだけです。後からいくら嘆いても、失ったものを取り戻すことはできません。シマンテックは、オンラインの不正行為やフィッシング攻撃からユーザーを保護するために全力を尽くしますが、詐欺などの犯罪行為を防ぐために基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

安全で楽しいクリスマスをお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Not a Twitter Experiment: Scammers Capitalize on Twitter Recommendations

Yesterday, a number of Twitter users were duped into following fake Twitter accounts known as @VerifiedReport and @MagicReports.  Both accounts claimed to be part of a Twitter experiment between users, news organizations, and journalists, and foll…

Spammers pay tribute to Paul Walker using ‘Word Salad’

Word Salad, a workaround method invented by spammers to counter Bayesian spam filtering, is an old trick in the spammer’s manual, but cutting edge anti-spam filtering technology has made this ploy blunt.

As a form of Bayesian poisoning, Word Salad is an incongruous string of words. It uses words that are very legitimate and can be seen in any form of legit prose. From the perspective of Bayesian filtering, there is a large volume of legit data in emails which employs Word Salad. The word salad are often seen in the form of HTML, where nonsensical tags are used to break  URLs up so analysers will have a hard time tracking down the spammy URL. The latest trend in word salad is to add the most current keywords, like the hottest news or an upcoming event.

The demise of Paul Walker, the ‘Fast and Furious’ franchise star, in a fiery car accident on Saturday, is the latest example exploited by spammers. Within hours of this breaking news, Symantec observed snowshoe spam or hit-and-run attacks, using “PAUL WALKER” in Word Salad.  This topic is a highly searched topic at the moment, as his fans anxiously wait for his autopsy report. Earlier on, there was also fake news circulating claiming that Paul Walker has survived the crash.

figure1_3.png

Figure 1: An email body with the keyword “PAUL WALKER” using word salad.

The spam in discussion had no relevant ties to any news on Paul Walker, except for the Word Salad. The preview is that of a TV/Phone/Internet promo spam which has the headers below:

Subject: Cheap Cable-TV, Internet & Phone – Free Equipment, Premium Channels & Install

­­­From: ~CABLETVSpecialS* <[name]@[domain].com>

figure2_1.png

Figure 2. A preview of the spam

As we remember Paul Walker, we should also be reminded this is another example of how spammers don’t hesitate to manipulate various incidents in their bid to promote spam.

RIP Paul Walker.

Look Before You Get Phished This Christmas

      No Comments on Look Before You Get Phished This Christmas

The Christmas season is a time to loosen up a few strings.  The ‘how’ is obvious, and the ‘where’ is situated in your pocket.

Now that’s no joke. You draw your plans and fix your expenditure. After all, you know the frontiers of your funds. But, the one who values it the most after you is the one who pries on you! It’s amazing to see how easily they do it. All it takes is a little bit of greed, a little bit of fear and a little bit of urgency and you lose your resolutions.  It’s only moments after you have allowed yourself to be cheated that you feel the remorse. After all, you have struggled for months to build your bank account balance to spend for Christmas only to have it burgled in an instance. If this detour does not bring you goosebumps, a little analysis on one such phishing sample should do the needful.

The header of the phishing email reads:

Subject: [Brand name] is giving you a chance to shop for free!
From: “[Brand name] Card” [name]@[domain].com

figure1_1.png
Figure 1. A spam email about a Christmas Phishing attack

The mail seems to come from a reputed financial institution, allegedly doling out ‘free shopping vouchers’ for Christmas. The mail also adds a hyperlink, stating ‘Kindly Click here now’ for users to qualify for a shopping voucher, and informing them the offer is valid till 31st December, 2013.

The most interesting part is that the voucher will be sent to users after they validate the voucher. It means, users must click first to be eligible! Now, that would not require second thoughts but be wary before you do it. There are many fraudulent tricks doing the rounds this Christmas.

Be aware when dealing with every financial transaction, check for discrepancies, and be absolutely certain before you click any link mailed to you. Verify that the hyperlink embedded in the email truly belongs to the financial institution to make sure you are not being taken for a ride. Don’t forget to regularly change your password and keep them secret, strong and unpredictable.

Such offers seem enticing but can wield a scattering blow to your tote and no amount of lamenting thereafter will bring back your possession. While we make every effort to protect you from online illegal activities and phishing attacks, we encourage you to follow best security practices to avoid fraudulent misdemeanors.

Symantec wishes you a safe and merry Christmas.