Tag Archives: scam

Instagram Scam: Lottery Winners Impersonated to Offer Money for Followers

Hacker Medic April 8, 2014 No Comments

Over the last few days, Instagram scammers have been posting images offering fake lottery winnings to followers. They have convinced users to share the posts, give up personal information, and even send money back to the scammers.

In this scam, a number of Instagram accounts have been created to impersonate real-life lottery winners from the UK and US. These accounts claim to offer US$1,000 to each Instagram user who follows them and leaves a comment with their email address.

Figure 1. Instagram accounts impersonating real-life lottery winners

The accounts impersonating lottery winners have been extremely successful, and have gained anywhere from 5,000 to 100,000 followers.

Once they have amassed a certain number of followers, they reveal a secondary Instagram account belonging to their “accountant”, who is in charge of delivering the US$1,000 to users—with a catch.

Figure 2. Fake “accountant” profiles asking users for money

The previous figure shows the “accountant” profiles asking Instagram users to send US$0.99 through a large payment processing service to cover the postage fees for mailing out the checks.

Figure 3. Users who have fallen for the lottery scam

Even though a number of red flags were present for users, the scam has proven to be a success. Each account has gained thousands of followers, with users willingly divulging their email addresses, and some users sending scammers US$0.99 for the supposed postage fees.

The main goal of this scam campaign was to collect accounts with thousands of followers for personal use or resale. During our research, we also found that user names associated with some of the impersonation accounts had performed an account pivot. This means the avatar, user name, and user biography section were changed to preserve the account from being flagged for spam. This allowed the scammers to continue to use or sell the account.

Figure 4. Instagram impersonation accounts have reappeared with fewer followers

Shortly after the account pivot, the impersonation accounts reappeared, but with fewer followers than before. One of the accounts even claimed that it was “hacked” and asked followers to be patient.

It’s clear that these accounts are fraudulent, but users continue to believe that they will be given US$1000 just for following Instagram accounts.

Symantec advises users with the following precautions:

Do not believe everything you read, especially on social networking sites
Be skeptical when you come across such offers. As we have previously pointed out, free stuff on social networks is not free
Do not willingly give up personal information
Do not send money to somebody you do not know or trust

Always remember that if it sounds too good to be true, it is.

Facebook ???????????????????????

Hacker Medic April 8, 2014 No Comments

寄稿: Parag Sawant

フィッシング詐欺師は、ユーザーの重要な情報を手に入れるチャンスを増やすために、さまざまな計略を繰り出し続けています。シマンテックが最近確認したフィッシング攻撃の場合は、男性と女性のどちらが偉いかと質問する偽の投票サイトを通じてデータが集められていました。

フィッシングページは無料の Web ホスティングサイトを利用しており、Facebook ユーザーを標的にした偽の投票ページには、「WHO IS GREAT BOYS OR GIRLS?（男性と女性、どちらが偉い?）」という質問と［VOTE（投票）］ボタンがあります。ページには、投票結果を示す棒グラフも埋め込まれており、過去 4 年間の総得票数が示されます。このようなグラフがあることで、より本物らしく見えます。

図 1. 投票サイトへの登録を求める Facebook アプリケーション

最初のフィッシングページには、投票プロセスを開始するボタンがあります。このボタンをクリックすると、次の図のようにポップアップウィンドウが開き、ユーザーのログイン ID とパスワードを入力するよう求められます。

図 2. ユーザーのアカウント情報の入力を求めるポップアップウィンドウ

ポップアップウィンドウには、男性か女性のどちらかに投票するためのボタンと、投票を送信するボタンも表示されます。フィールドに必要な情報をすべて入力し終わると、投票した情報を確認するための確認ページに進みます。

図 3. ユーザー情報を入力し終わると、投票の確認メッセージが表示される

ここで最初のページに戻ろうとして、投票数が定期的に増えていることに気付きました。先ほど 4,924,055 だった数値が、今見ると 4,924,096 になっているのです。

図 4. 変化する前と変化した後の投票数の比較

今回のフィッシング詐欺師は以下の URL を使っており、そのサブドメインからこれがアプリケーションであることがわかります。
[http://]smartapps.[削除済み].com

このサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

偽アプリケーションを餌に使う手口は珍しいものではありません。インターネットを利用する際には、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

アカウントにログインするときに、アドレスバーの URL を確かめ、間違いなく目的の Web サイトのアドレスであることを確認する。
電子メールメッセージの中の疑わしいリンクはクリックしない。
電子メールに返信するときに個人情報を記述しない。
ポップアップページやポップアップウィンドウに個人情報を入力しない。
個人情報や口座情報を入力する際には、鍵マーク（画像やアイコン）、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
ノートンインターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Fake Voting Campaign Steals Facebook Users’ Identities

Hacker Medic April 7, 2014 No Comments

Contributor: Parag Sawant

Phishers continuously come up with various plans to enhance their chances of harvesting users’ sensitive information. Symantec recently observed a phishing campaign where data is collected through a fake voting site which asks users to decide whether boys or girls are greater.

The phishing page, hosted on a free Web hosting site, targets Facebook users and contains a fake voting campaign, “WHO IS GREAT BOYS OR GIRLS?” along with the “VOTE” button to register votes. The page is also embedded with pair of bar charts representing voting ratio and displays the total votes gained for the last four years. These give a more legitimate feel to the fake application.

Figure 1. The Facebook application asks users to register their votes

The first phishing page contains a button to initiate the voting process. After the button is clicked, a pop-up window appears, asking for a user’s login ID and password, as shown below:

Figure 2. A pop–up window requesting for user account information

The pop-up also contains two option buttons to vote for either male or female, and a button to submit the vote. After all the details and fields have been entered and filled up, the page then redirects the user to an acknowledgement page to confirm his or her voting information.

Figure 3. A voting confirmation message is displayed after user information is entered

We then tried returning to the first page and found that the vote count increases periodically. The number was previously 4,924,055 but has now increased to 4,924,096.

Figure 4. A comparison of the previous vote count and the current vote count

The phishers used the following phishing URL, and a subdomain to indicate that it is an application:
http://smartapps[DOMAIN NAME].com

If any user falls victim to the site, the phishers would then have successfully stolen personal user information for identity theft purposes.

The use of fake applications as bait is not uncommon, and Symantec advises Internet users to follow these best practices to avoid becoming victims of phishing attacks:

Check the URL in the address bar when logging into your account to make sure it belongs to the website that you want to visit
Do not click on suspicious links in email messages
Do not provide any personal information when replying emails
Do not enter personal information in a pop-up page or window
Ensure that the website is encrypted with an SSL certificate by looking for the padlock image/icon, “HTTPS”, or the green address bar when entering personal or financial information
Use comprehensive security software, such as Norton Internet Security or Norton 360, to be protected from phishing and social networking scams
Exercise caution when clicking on enticing links sent through emails or posted on social networks

??????????????????????????

Hacker Medic March 27, 2014 No Comments

今年 1 月の後半、熱烈なファンであればコーチェラフェスティバルのチケットを買い求めたことでしょう。コーチェラフェスティバルは、2 週連続で週末の 3 日間をかけて毎年開催されるイベントですが、これを狙った詐欺師によるフィッシング攻撃が、2 月末まで続いていました。

コーチェラフェスティバルのチケット販売を扱っている Front Gate Tickets 社は 2 月末、チケットの購入者に電子メールを送り、このフィッシング攻撃について以下のように警告しています。

「このフィッシングでは偽の Web サイトが使われています。コーチェラフェスティバルのチケットをお買いになった方が Front Gate のアカウントにアクセスするためのログインページに酷似したデザインですが、ユーザー名とパスワードの情報を取得するために偽装されたものです」

この電子メールではさらに、フィッシング用のリンクが掲示板やスパムメールでも出回っていること、攻撃者はチケット購入者が掲示板に投稿した電子メールアドレスを収集していたことなどについても説明が続きます。

この攻撃が仕掛けられたのは、コーチェラフェスティバルで入場券代わりになるリストバンドが参加者宛てに出荷された直後です。それを考えると、攻撃者はチケット購入者のアカウントにアクセスし、登録されている郵送先住所や電話番号、電子メールアドレスを変更してリストバンドを詐取しようとしていたに違いありません。実際、コーチェラフェスティバルの掲示板でも、あるユーザーからこれを裏付ける投稿がありました。

「私はアカウント情報を元に戻すことができましたが、登録されている住所や電話番号、電子メールアドレスは変更されていました。念のため確認したおかげでチケットを失わずに済んだのはラッキーでした」

今回の事件は、デジタル時代の音楽ファンにとってよい教訓になります。コーチェラフェスティバルのチケット進呈を謳う偽の Facebook ページを作るだけだった詐欺が、わずか 2 年足らずのうちに、直接フィッシングメールで参加者を標的にして、リストバンドを盗み出すという手口にまで発展したのです。

今年開催されるのは、もちろんコーチェラフェスティバルだけではありません。今後数カ月の間に、サスカッチ、ボナルー、アウトサイドランズ、ロラパルーザなどさまざまな音楽フェスティバルが米国内だけでも予定されており、世界中ではさらに多くの音楽フェスティバルが開催されます。

フェスティバルに参加する方は、掲示板のスレッドで電子メールアドレスを共有しないことをお勧めします。どうしても共有する必要がある場合には、掲示板に用意されている非公開メッセージの機能を使ってください。

チケットの購入後、参加予定のイベントについて詳しい情報を確認するためと称して、リンクを掲載し、ログインを求めてくる電子メールを受け取った場合には、むやみにリンクをクリックせず、新しいブラウザまたはタブを開いて公式サイトにアクセスしてください。電子メールに疑わしい点がある場合には、チケット販売者や音楽フェスティバルの公式サイトで連絡先の電話番号や電子メールアドレスを探し、確認を依頼してください。

Music Festival Attendees: Beware of Phishing Scams

Hacker Medic March 26, 2014 No Comments

In late January this year, eager fans purchased tickets for Coachella, an annual two-weekend, three-day music festival but were later targeted by scammers in a phishing campaign that persisted up till the end of February.

Front Gate Tickets, the company responsible for handling the festival’s ticketing had sent an email to ticket buyers at the end of February warning users on the phishing campaign stating:

“The phishing involved a fraudulent website designed to look like the login page for Coachella ticket buyers to access their Front Gate accounts, built in an attempt to capture username and password information.”

The email went on to explain that the phishing links were circulated on message boards and email campaigns, and that the perpetrators had harvested the email addresses of ticket buyers who posted them publicly on message boards.

The timing of this campaign happened right before the wristbands used for entry into Coachella were shipped out to attendees. Based on this, it’s clear that the perpetrators of the campaigns had intended to access accounts of ticket buyers to modify the mailing address, phone number and email on file in order to have the wristbands shipped to them. One user on the Coachella message board confirmed this to be the case:

“I was able to get my information put back on the account yet they changed the address, phone and email on file. Glad I double checked and didn’t lose my tickets!”

This incident is an important lesson for the modern music fan. In just two years, scammers have gone from merely creating fake Facebook pages offering tickets to Coachella to directly targeting attendees with phishing emails to steal their wristbands.

Coachella is not the only music festival happening this year. In the coming months, festivals like Sasquatch, Bonnaroo, Outside Lands, Lollapalooza and others will be taking place throughout the United States and even more festivals happening in other parts of the world.

Symantec Security Response encourages festival attendees to not share their email addresses on message board threads. If sharing is necessary, use the board’s built-in private messaging function.

If you’re a ticket buyer and you receive an email with a link asking you to log in to find out more information about your upcoming event, do not click on it blindly. Instead, open up a new browser or tab to visit the official website to log in. If the email seems suspicious, find a contact number or email address on the ticket distributor’s or music festival’s website and seek their assistance instead.

Twitter ?? 100 ????????????????????

Hacker Medic February 5, 2014 No Comments

先日のスーパーボウルで話題になった Esurance 社のコンテストへの参加者を狙って、詐欺師はさっそく攻撃を仕掛けています。スーパーボウル終了直後に CM を放映した同社は、#EsuranceSave30 というハッシュタグを使って投稿した Twitter ユーザーの中から抽選で 1 名に 150 万ドルを進呈すると発表しました。シマンテックセキュリティレスポンスはその直後から、このコンテストに対する注目度の高さを利用する目的で Esurance 社の偽 Twitter アカウントが大量に作成されていることを確認しました。

偽 Twitter アカウントの多くは、Esurance 社のブランド名のバリエーションとロゴを使って、同社と正規に関連しているように思わせていました。偽アカウントでは、以下のような Twitter 名が使われています。

EsuranceWinBig
EsuranceGW
Essurance
Esurrance
Esurnace
Esuranc

ロゴと画像を使って Esurance 社のアカウントに見せかけようとしているアカウントはほかにもありますが、名前はブランドと無関係です。たとえば @HeIpfulTips というアカウントがあります。この「HeIp」の中の「I」は小文字の「エル」ではなく大文字の「アイ」です。

2012 年 12 月に作成されたこのアカウントは、数千人のフォロワーを集めていますが、コンテスト中に「アカウントピボット」を実行しました。アバター、プロフィール、ヘッダー画像を変更して、Esurance 社のコンテストの一環であるかのように見せかけたのです。このアカウントにはさらに数千人のフォロワーが増え、コンテスト関連のツイートは一晩で 40,000 回以上もリツイートされました。

図 1. Esurance 社のコンテストとの関連性を偽装した Twitter アカウント

同日の午後に入ると、Esurance 社のツイートから十分なフォロワーを獲得したからか、このアカウントは再びアカウントピボットを実行して、Life Hacks という名前に戻りました。

図 2. Esurance 社に偽装したアカウントは、数千人のフォロワーを獲得後、元の名前に戻った

これと同類のアカウントの多くは、リツイートやフォロワーを獲得することを特に目指しましていますが、シマンテックはそれ以上の悪用があることを確認しています。たとえば、Esurance 社を騙る偽アカウントの中には、コンテストの勝率を上げるためと称してフォロワーに寄付金を募るものもありました。

図 3. コンテストの勝率を上げると称して寄付金を募る Twitter アカウント

この活動はただちに閉鎖されましたが、その時点ですでに 261 ドルの寄付金が集まっていました。

こうしたアカウントは、フォロワーにフィッシングリンクを送りつけ、コンテストの参加者を増やすために Twitter にログインするよう求めるためにも使われている可能性があります。

そもそも、このようなアカウントが作成された目的は何なのでしょうか。コンテストの人気やそのハッシュタグに便乗することで、一部のアカウントは 1,000 人から 100,000 人ものフォロワーを集めました。その後、これらのアカウントの所有者は、本当の Twitter フォロワーを集めているアカウントを探し求めている個人に、偽のアカウントを売ることができます。そして、アフィリエイトスパムに利用されるのかもれしません。

マーケティングの目的で Twitter を利用するブランドが増えていますが、「認証済み」あるいはブランドに公式に関連付けられている Twitter アカウントからのコンテストルールを探して、その更新情報をフォローするようにしてください。今回の場合、Esurance 社は Web サイトに公式ルールと FAQ を公開しています。

Twitter 上でユーザーの誤解を誘おうとしている疑いがあるアカウントは、Twitter 社に報告してください。

ソーシャルメディア詐欺について詳しくは、シマンテックセキュリティレスポンスチームの Twitter アカウント（@threatintel）をフォローし、Twitter 詐欺に関するこれまでのブログもお読みください。

Million Dollar Twitter Contest Hijacked by Scammers

Hacker Medic February 3, 2014 No Comments

Scammers are taking advantage of recent Super Bowl social buzz in a scheme which target entrants of an Esurance contest. The company premiered a commercial following Super Bowl, where they offered US$1.5 million dollars to one lucky Twitter user who used the hashtag #EsuranceSave30. Following this, Symantec Security Response has observed a number of fake Esurance Twitter accounts being created to leverage the attention generated by this contest.

Many of these Twitter accounts used variations of Esurance’s brand name and logo to convince users they are affiliated with the company. These accounts include the following Twitter handles:

EsuranceWinBig
EsuranceGW
Essurance
Esurrance
Esurnace
Esuranc

There are also other accounts that use logos and imagery making them look like they belong to Esurance, but their names have nothing to do with the brand. An example is an account named @HelpfulTips, whereby the “l” in Help is the capitalized letter “i”.

This account, created in December 2012, has racked up thousands of followers but performed an “account pivot” during the contest–it changed its avatar, bio and header image, and claimed to be part of the Esurance giveaway. The account added thousands of Twitter followers and received more than 40,000 retweets for a tweet related to the contest overnight.

Figure 1: Twitter account which claims to be associated with the Esurance giveaway

Earlier this afternoon, it performed yet another account pivot–after gaining enough followers from the Esurance tweets, it reverted back to a LifeHacks account.

Figure 2: Fake Esurance account pivots back after gaining thousands of followers

Many accounts of such nature focus on gaining retweets and followers, but Symantec has identified further abuse. For example, one of the fake Esurance accounts has asked its followers to donate money to increase their chances of winning the contest:

Figure 3. Twitter account asks for donations to increase their chances of winning the contest

This campaign was shut down quickly, but already received US$261 in donations by then.

These accounts could also be used to send phishing links to followers, asking them to login to Twitter to earn more entries in the contest.

Why are these accounts being created in the first place? By riding on the popularity of the contest and the hashtag, some of these accounts have gained anywhere between 1,000 to 100,000 followers. After that, the owners of these accounts are able to sell these fake accounts to individuals who are looking for accounts with real Twitter followers instead of fake ones. This can then be used for affiliate spam.

As more brands use Twitter for marketing purposes, Symantec advises users to look for and follow updates and contest rules from Twitter accounts that are “verified” and/or officially associated with the brand. In this case, Esurance has provided a set of official rules and frequently asked questions on their website.

If you suspect an account is attempting to mislead users on Twitter, you can report the account to Twitter.

To learn more about social media scams, follow Symantec Security Response team on @threatintel and read our blogs on previous Twitter scams:

???????????????????????

Hacker Medic January 29, 2014 No Comments

2013 年、ユーザーを詐欺サイトに誘導する何千ものアプリが Google Play で公開されました。日本では、この形態の詐欺は通常「ワンクリック詐欺」と呼ばれています。2013 年 1 月に初めての亜種が出現して以来、何日間も生き残る詐欺アプリはほんのひと握りですが、2013 年の 1 年間に公開された詐欺アプリは、合計すると 3,000 種以上にものぼることが確認されました。昨年の 10 月までに詐欺師たちは、新しい亜種を Google Play で公開することをやめていますが、その理由はわかっていません。

図 1. ワンクリック詐欺サイトに誘導するアプリが 2013 年中に Google Play で公開された総数

詐欺サイトに被害者を誘い出すアプリは、Google Play でこそ公開されなくなりましたが、最近は被害者を詐欺サイトに誘導するために別の経路が使われています。たとえば、それはスパムなどです。

この詐欺は携帯電話、特にスマートフォンに届いたスパムから始まるのが一般的です。スパムメッセージには、アダルト動画サイトへのリンクが掲載されています。そのサイトでは、動画を無料で鑑賞できると謳われています。

図 2. この詐欺の過程で届くスパムメッセージの例

図 3. スパムメッセージからリンクされているアダルト動画サイト

動画を見るためには、電話を掛けてサイトに登録しなければならないと指示されます。被害者がサイトで指定されている番号に電話を掛けると、自動システムが電話を受け、被害者のモバイルデバイスの電話番号を保存します。次に、サイトにアクセスするために電話番号を入力するよう求められます。

図 4. 動画を見るためにサイトに登録するよう指示される

サイトへの登録を済ませて動画をクリックすると、別の Web ページが開きます。このページを注意深く読むと、「無料」という単語が完全に消えていて、購読料金に関する小さな注意書きが追加されていることに気が付きます。

図 5. 購読料金の詳しい案内が載ったアダルト動画サイト

この注意書きを見逃してダウンロードボタンをタップすると、有料サービスに登録したことになり、約 10 万円という法外な料金を請求されてしまいます。実際に 2 つのアダルト動画ページの URL を比較してみれば、ドメインが違うことがわかるはずです。ユーザーは元のサイトから別のサービスにリダイレクトされています。動画を無料で見られるのは元のサイトだけですが、実際には動画は見つかりません。リダイレクト先のサイトには動画がありますが、それは無料ではないのです。

図 6. 購読料金を請求するサイトの登録ページ

元のサイトの利用規約を読むと、そのサイトにあるすべてのコンテンツには無料でアクセスできるが、リンク先の他のサービスは有料の場合があると書かれています。

サイトの Q&A ページに、詐欺師からの電話に引っかかって動画サービスの料金を請求されることがあるという警告文が書かれているのは、何とも皮肉です。このページでは、料金の支払いには注意する必要があるとも指導しています。実際に、期日までに料金が支払われないと、詐欺師は督促電話を掛けてきます。

図 7. 詐欺に関する警告文が書かれた Q&A ページ

こうした詐欺は毎日のように発生しており、オペレーティングシステムの種類を問わず、スマートフォンを持つユーザーが狙われています。引き続きワンクリック詐欺には警戒して、迷惑メール（スパムメッセージ）のリンクは絶対にクリックしないようにしてください。

Ancient Japanese Click Fraud Still Healthy and Alive

Hacker Medic January 28, 2014 No Comments

In 2013, scammers published thousands of apps on Google Play that led to fraudulent sites. This form of scam is typically called “one-click fraud” in Japan. The very first variant appeared in January and while only a handful of these fraudulent apps survive for a few days at most, we confirmed that, in total, more than 3,000 apps were published on the market in 2013. By October, scammers for the most part have stopped publishing new variants of the fraudulent apps on Google Play for unknown reasons.

Figure 1. Total number of apps leading to one-click fraud sites published on Google Play throughout 2013

While apps that lure victims to fraudulent sites may no longer be available on Google Play, there are currently other vehicles leading victims to these sites, such as spam.

This scam typically begins with spam that has been sent to a mobile phone, ideally a smartphone. The spam message contains a link to an adult video website. The site claims that videos can be viewed free of charge.

Figure 2. Example of the spam message sent as part of this scam

Figure 3. The adult video site linked in the spam message

To view a video, the visitor is instructed to make a phone call in order to register for the site. Once the user calls the number provided on the site, an automated system will accept the call and save the phone number of the victim’s mobile device. The visitor will then be prompted to input their telephone number in order to access the site.

Figure 4. The site instructs the user to register to access the videos

When the user clicks on a video after they’ve registered for the site, another Web page opens. If you read the page carefully, you will notice that the term “free” has completely disappeared and a tiny note about a subscription fee has been added.

Figure 5. The adult video site with details of a subscription fee

If the visitor fails to notice this detail and clicks the download button, they will end up registering for the paid service and will be charged the hefty price of about US$1,000. If you actually compare the URL of the two adult video Web pages, you will notice that the two sites have different domains. The original site redirects the visitor to a different service and allows free videos to be viewed only on its own site, but no videos can be found. There are videos on the second site, but they are not available for free.

Figure 6. Registration page for the site that charges a subscription fee

The end-user agreement on the original site states that all content on the site can be accessed free of charge, however, other services linked to the site may not be free.

Interestingly, the site’s Q&A page warns visitors that they may receive phone calls from scammers asking them to pay for video services. The Web page instructs users to be carefully about making payments. The scammers do follow up by calling the visitors if the fee is not paid by the deadline.

Figure 7. The Q&A page with a warning about scammers

These scams occur on a daily basis and affect users with smartphones that run any type of operating system. Users should remain vigilant of one-click fraud scams and should avoid clicking on links received through unsolicited spam messages.