Tag Archives: phishing

419 Scammers Eye ICC Champions Trophy 2013

Hacker Medic June 13, 2013 No Comments

The International Cricket Council (ICC) Champions Trophy 2013 is currently being held in England and Wales. The group matches are already in progress and the grand finale will be held on June 23. In the past, Symantec observed various spam emails targe…

?????????????????????????

Hacker Medic June 12, 2013 No Comments

寄稿: Avdhoot Patil

サッカーのクラブチームや有名選手、関連イベントを狙うのは、どうやらフィッシング詐欺師の習性のようです。詐欺師は卑劣な行為を繰り返しており、特にサッカーを標的にしています。今回、目を付けたのは、レアル・マドリード C.F. です。スペインのマドリードに本拠を置く同クラブは、世界で最も裕福なサッカークラブの 1 つであり、お数多くのファンを抱えています。

Real Madrid fake login.png

図. 偽のフィッシング Facebook ページ。レアル・マドリードとクリスティアーノ・ロナウド選手の画像が使われている。

この図にあるように、フィッシングページは、レアル・マドリードを強調したデザインのページコンテンツで、ユーザーに Facebook のログイン情報を入力するよう求めます。このページのタイトルは「Facebook Real Madrid Login」で、背景には同クラブのクリスティアーノ・ロナウド選手の画像が使われています。ユーザーがログイン情報を入力すると、このフィッシングサイトからレアル・マドリードの正規の Facebook コミュニティページにリダイレクトされます。正規のページにリダイレクトするのは、正当なログインだと思わせるためです。このフィッシングサイトの手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪の被害者になってしまいます。

たくさんのファンが付いている有名選手やサッカーチームを利用すれば、標的も膨大な数にのぼり、結果的に個人情報を収集できるチャンスも大きくなることを詐欺師は知っています。2013 年 6 月にもこの傾向は続き、同じようなフィッシング詐欺の手口が横行しています。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

電子メールメッセージの中の疑わしいリンクはクリックしない。
電子メールに返信するときに個人情報を入力しない。
ポップアップページやポップアップ画面に個人情報を入力しない。
個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
ノートンインターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
偽の Web サイトや電子メールを見かけたら報告する（Facebook の場合、フィッシング報告の送信先は phish@fb.com）。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????? 2013 ??????

Hacker Medic June 11, 2013 No Comments

寄稿: Vivek Krishnamurthi

国際的なダンス競技会である「ダンスグランプリヨーロッパ」が 6 月 12 日からスペインで開催されます。この競技会は、さまざまなダンススクールのトップダンサーを披露することを目的として開催される大きなイベントであり、世界中のダンサーたちを惹きつけてやみません。スパマーも同じようにこの舞台に注目し、詐欺メールを拡散する機会を狙っています。

図 1. ダンスグランプリヨーロッパ 2013 を利用したスパム

ユーザーの関心を引こうとして、スパムメールでは、このイベントで人気を呼びそうな内容を紹介したうえで、参加費用は「格安」で追加料金もいっさい不要と謳っています。URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。

図 2. 海賊版の Web サイト。正規サイトと似ているが、連絡先情報（緑の線で囲まれた部分）が異なる

図 3. オリジナルの正規のイベント Web サイト

注目に値するのは、偽の Web サイトに信憑性を持たせるために、オンラインの訪問者を観測するウィジェットをページの左下に追加し、オンラインユーザー数と称してランダムな数字を表示している点です。このスパム攻撃の主な動機は、ユーザーを誘い出してその個人情報や口座情報を手に入れることにあります。十分に注意を払い、リンクはクリックしないようにしてください。

このスパム攻撃で確認されている件名の例を以下に挙げます。

件名: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.（ダンスグランプリヨーロッパ、2013 年 6 月 12 日から 16 日まで開催。世界中のダンススクールやグループが競う）
件名: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.（グランプリはスペインで開催。ダンススクールとグループのための競技会、2013 年 6 月 12 日から 16 日まで）
件名: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!（ダンスグランプリヨーロッパ、2013 シーズン開幕のお知らせ! ホリデーシーズンを前に、記念すべき「2013 ダンス年」を祝してあなた自身にも、スクールやグループにも贈り物はいかがですか。ヨーロッパダンス競技会の参加予約は、今すぐ!）

ダンスグランプリヨーロッパ 2013 にちなんだ迷惑メールや心当たりのない電子メールの扱いには注意して、スパム対策のシグネチャは定期的に更新するようにしてください。シマンテックでも、最新の脅威に関する最新の情報をユーザーのみなさんにお届けできるよう、24 時間 365 日の態勢でスパムを監視しています。

Phishers Now Target Real Madrid Fans

Hacker Medic June 10, 2013 No Comments

Contributor: Avdhoot Patil
It seems that targeting football clubs, football celebrities, and football events has become a habit for phishers. They continue their uncivilized activities and in particular single out football. Now, phishers have set their…

??????????????

Hacker Medic June 10, 2013 No Comments

贈り物を準備しながら、父親に感謝と親愛の気持ちを伝える日を指折り数えて待っている人も多いことでしょう。今年の父の日は 6 月 16 日です。先月は「母の日を悪用するスパムが今年も登場」と題するブログを公開しましたが、今度は父の日に向けて、Symantec Probe Network でスパムメッセージが検出され始めています。スパムメールのほとんどは、お買い得商品、偽アンケート、高級腕時計のコピー商品などでユーザーを誘おうとするものです。スパムメッセージに含まれている URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。

図 1. ギフト広告スパム

図 2. 父の日を利用した商品広告スパム

スパマーはいつでも無防備なユーザーの隙を狙い、偽広告で宣伝されている商品を購入するためと称して個人情報を入力させようとします。最近も、URL に .pw を含むスパムメッセージが増加していることをお知らせしたばかりですが、大きなイベントやフェスティバル、祝祭日の前後には、.pw のトップレベルドメイン（TLD）を含むメッセージの増加が今もなお確認されています。父の日スパムでは、URL に .pw を使った差出人として以下のような例が確認されています。

差出人: “Personalized Father’s Day Gifts”（名前入りの父の日ギフト）<support@[削除済み].pw>
差出人: Quick Father Gifts（お手軽な父の日ギフト）<cigarformen@[削除済み].pw>
差出人: Cigars for Dad（お父さんに葉巻を贈ろう）<cigarformen@[削除済み].pw>
差出人: Fathers Day Cigars（父の日の葉巻）<cigarformen@[削除済み].pw>

図 3. 父の日を餌に利用した偽ディスカウントスパム

スパマーは、宣伝されている商品を偽のクーポンコードで購入できると誘い、「オリジナルと同じ素材を使用」などという売り文句でユーザーを欺きます。このスパム攻撃で使われているディスカウントコードは、dad[ランダムな数字] や father[ランダムな数字] などの形式で、父の日のセールを利用しようとするユーザーを誘導してリンクをクリックさせることを狙っています。

図 4. 偽のディスカウント商品で誘うスパム

シマンテックでは、父の日にちなんだスパム量が増えていることを確認しています。次のグラフをご覧ください。

図 5. 父の日スパムの件数の傾向

最近のスパム攻撃で使われている件名の例を以下に示します。

件名: 15 Cigars for 29.95 (68% off Fathers Day sale!)（15 本入り葉巻が 29.95 ドル（父の日限定 68% オフ!））
件名: The perfect gift for Fathers day only costs 32% of the original price!（父の日に最高のギフトが、元値のたった 32% !）
件名: Regarding Father’s Day orders（父の日のご注文について）
件名: Personalized Gifts for All The Dads In Your Life（お父さんに名前入りのギフトを）
件名: Top Personalized Fathers Day Gifts（父の日の名前入りギフト）
件名: Get relief from chronic spine conditions. Father’s Day Discount Available（慢性的な背中の痛みにさようなら。父の日ディスカウントあり）
件名: Don’t forget your father（お父さんのことを忘れないで）
件名: Don’t forget about your father（たまには、お父さんのことを思い出そう）
件名: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card（父の日アンケートに答えて、25 ドル相当の xxx ギフトカードをもらおう）
件名: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available（頸椎手術や脊椎に代わる内視鏡が登場。父の日の割引特典あり）

迷惑メールや心当たりのない電子メールを受信したときには、くれぐれもご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、父の日スパムの厳重な監視を続けています。

どうぞ、素晴らしい父の日を安全にお迎えください。

???: ?????????????

Hacker Medic June 10, 2013 No Comments

竜船祭は、端午節とも呼ばれ、中国をはじめとする東アジア各地で 2,000 年以上前から伝統的に祝われてきた重要な祝日です。人々はこの日、象徴的な一連の行事によって夏の伝染病や悪霊を追い払います。古来、夏というのは重い病気をもたらす病害虫や蛇、ノミの季節であると考えられてきたからです。

竜船祭の日には、竜船（ドラゴンボート）競技を開催するほか、蒸したもち米を竹の皮で包んだもの（ちまき）を食べる、薬用酒（雄黄酒）を飲む、生薬を使った香り袋を身に着けるなど、さまざまな伝統儀式があります。こうした行事の多くは商業的な要素を含んでいるため、スパマーもひと儲けするチャンスを抜け目なく狙っています。

今年は 6 月 12 日が竜船祭に当たっており、それに先立つ期間にシマンテックは、竜船祭に関係するスパムを大量に遮断しています。

図. 竜船祭にちなんだサンプルスパムメール

疑わしいリンクが掲載されている迷惑メールの扱いには、改めてご注意ください。終わることのないスパムの処理に閉口している方には、受信ボックスに届く前に迷惑メールを遮断する、シマンテックの最新のスパム対策製品をお勧めします。スパムに悩まされることなく、楽しい竜船祭をお過ごしください。

Scammers Take Advantage of Dance Grand Prix Europe 2013

Hacker Medic June 10, 2013 No Comments

Contributor: Vivek Krishnamurthi

The International Dance Competition “Dance Grand Prix Europe” is set to begin June 12 and will be hosted in Spain. The purpose of the competition is to showcase all the top dancers from various dance schools and this major event attracts choreographic talent from around the world. Spammers also don’t want to miss this event and the opportunity to circulate a scam.

Figure 1. Dance Grand Prix Europe 2013 spam

To grab the reader’s attention, the spam email reveals some appealing facts about the event along with “only a little fee” required but no additional charges for participation in the event. Clicking the URL will automatically redirect the user to a website containing a bogus offer.

Figure 2. Pirated website looks like original, changed contact information (green box)

Figure 3. Original and legitimate event website

Interestingly, to trick users into trusting the fake website, spammers also added a widget at the bottom left of the page that monitors online visitors and displays a random number of users online. The main motive of these spam campaigns is to lure recipients and acquire their personal and financial information. Users should be careful and avoid clicking the links.

Some of the subject lines observed in this spam campaign include the following:

Subject: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.
Subject: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.
Subject: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!

Symantec advises users to be cautious when handling unsolicited or unexpected emails related to the Dance Grand Prix Europe 2013 and to update antispam signatures regularly. Symantec also monitors spam attacks around-the-clock to ensure users are kept up to date on the latest threats.

Beware of Fake Gift Offers for Father’s Day

Hacker Medic June 10, 2013 No Comments

A lot of people are counting down the days until they can express their appreciation and love towards their dads by giving them gifts for Father’s Day, which is celebrated on June 16. Last month we published a blog called Spammers Continue to Exploit Mother’s Day, now it’s the turn of Father’s Day, as spam messages have started flowing into the Symantec Probe Network. Most of the spam emails attempt to encourage users to take advantage of product offers, fake surveys, and replica watches. Clicking the URL contained in the spam message automatically redirects the user to a website containing a bogus offer.

Figure 1. Gift offer spam

Figure 2. Product spam related to Father’s Day

Spammers will always try to take advantage of unsuspecting users by asking them to input personal information to avail of bogus offers for purchasing products. Symantec recently blogged about the rise of .pw URLs in spam messages and we are currently observing an increase in spam messages containing the .pw top-level domain (TLD) URLs in and around the times of major events, festivals, and holidays. Below are some examples of the From header, using .pw URLs, that have been observed in Father’s Day spam:

From: “Personalized Father’s Day Gifts” <support@[REMOVED].pw>
From: Quick Father Gifts <cigarformen@[REMOVED].pw>
From: Cigars for Dad <cigarformen@[REMOVED].pw>
From: Fathers Day Cigars <cigarformen@[REMOVED].pw>

Figure 3. Fake discount spam using Father’s Day as a lure

Spammers invite users to purchase the advertised product with a bogus coupon code and make false promises such as claiming the “materials used are the same as original.” The discount codes used in the spam attacks, such as dad[RANDOM NUMBERS] and father[RANDOM NUMBERS], attempt to lure users into clicking a link in order to take advantage of the Father’s Day offer.

Figure 4. Fake product discount spam

Symantec is observing an increase in spam volume related to Father’s Day, which can be seen in the following graph.

Figure 5. Volume trend of Father’s Day spam

Below are some of the subject lines used in this latest spam campaign:

Subject: 15 Cigars for 29.95 (68% off Fathers Day sale!)
Subject: The perfect gift for Fathers day only costs 32% of the original price!
Subject: Regarding Father’s Day orders
Subject: Personalized Gifts for All The Dads In Your Life
Subject: Top Personalized Fathers Day Gifts
Subject: Get relief from chronic spine conditions. Father’s Day Discount Available
Subject: Don’t forget your father
Subject: Don’t forget about your father
Subject: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card
Subject: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available

Symantec advises users to use caution when receiving unsolicited or unexpected emails. We are closely monitoring Father’s Day spam attacks to ensure that users are kept up to date with information on the latest threats.

Have a safe and happy Father’s Day!

Dragon Boat Festival: Now Driving Away Spam Too

Hacker Medic June 10, 2013 No Comments

The Dragon Boat Festival, also known as the Duanwu Festival, is an important traditional holiday that has been celebrated by Chinese people as well as other people in East Asian societies for nearly 2,000 years. It is a day for people to drive away epi…

Facebook virus empties bank accounts

Avast Blog June 6, 2013 No Comments

A dangerous Trojan named ZeuS is making its way among Facebook users. This old Trojan horse has infected millions of computers over the years, stealing banking credentials and other personally identifiable information. Zeus can lie dormant on infected computers until the unsuspecting victim logs into their bank’s website. Once you’re logged in, cybercrooks can steal […]