Last weekend I made the unfortunate decision to purchase a turkey sandwich from a well-known sandwich shop. Five hours later I wasn’t feeling so well. In fact, I was violently ill for the entire weekend. I missed one of my son’s football games, a family gathering and the house went to absolute rack and ruin! Read more…
Q: I overheard my son telling his friend to message him on Path. What is Path and should I be concerned? A: Good question and hats off to you for paying attention to what your kids are doing online. Path is a new(er) social network app specifically designed for smart phones. It allows users to keep Read more…
For the last few months, Symantec has been observing pharmacy related spam attacks where spammers are using the legitimate Google Translate service to avoid anti spam filters.
Most of the samples received were sent from hijacked email addresses from popular free mail services.
The majority of the messages’ subject lines were promoting either online pharmacies or well-known tablets such as Viagra, Cialis and others. Furthermore, in an effort to make the spam immune to filters, several observed subject lines contained randomized non-English characters or words inserted at the beginning or end of the subject line.
Figure 1. Sample subject lines
The body of the spam message contains a Google Translate link as well as promotional text explaining the advantages of ordering medicines from online websites, there’s even a discount code included for the reader.
Figure 2. Sample spam message
The mechanism of the redirection is quite complex. After clicking the link, Google Translate is meant to get a second address embedded in the link, which then redirects to a pharmacy website.
In our sample the final destination was the following pharmacy site:
It is worth noting that previously spammers mostly used freewebs or URL shortening services in the second part of the link (redirection link), but recently they’ve taken advantage of country IDN top-level domains, especially Cyrillic .рф domains. In redirection links, Cyrillic domains are represented in Punycode.
The following is an example of a link as it presented in a spam mail:
Output from win-1251 decoding:
With Punycode decoding:
Symantec is successfully blocking the majority of variations of Google Translate redirection spam and is closely monitoring for any other inappropriate use of Google Translate services in spam email. This exploit is used in spam campaigns and has not, as yet, been observed being used in the distribution of malware.
For the last few months, Symantec has been observing pharmacy related spam attacks where spammers are using the legitimate Google Translate service to avoid anti spam filters.
Most of the samples received were sent from hijacked email addresses from popular free mail services.
The majority of the messages’ subject lines were promoting either online pharmacies or well-known tablets such as Viagra, Cialis and others. Furthermore, in an effort to make the spam immune to filters, several observed subject lines contained randomized non-English characters or words inserted at the beginning or end of the subject line.
Figure 1. Sample subject lines
The body of the spam message contains a Google Translate link as well as promotional text explaining the advantages of ordering medicines from online websites, there’s even a discount code included for the reader.
Figure 2. Sample spam message
The mechanism of the redirection is quite complex. After clicking the link, Google Translate is meant to get a second address embedded in the link, which then redirects to a pharmacy website.
In our sample the final destination was the following pharmacy site:
It is worth noting that previously spammers mostly used freewebs or URL shortening services in the second part of the link (redirection link), but recently they’ve taken advantage of country IDN top-level domains, especially Cyrillic .рф domains. In redirection links, Cyrillic domains are represented in Punycode.
The following is an example of a link as it presented in a spam mail:
Output from win-1251 decoding:
With Punycode decoding:
Symantec is successfully blocking the majority of variations of Google Translate redirection spam and is closely monitoring for any other inappropriate use of Google Translate services in spam email. This exploit is used in spam campaigns and has not, as yet, been observed being used in the distribution of malware.
After being in oblivion for a while, the Xpiro family of file infectors is back with a bang—and this time with some notorious capabilities. Not only does the new variant infect 32-bit files, it also has broadened its scope of infection to 64-bit …
After being in oblivion for a while, the Xpiro family of file infectors is back with a bang—and this time with some notorious capabilities. Not only does the new variant infect 32-bit files, it also has broadened its scope of infection to 64-bit …
We all know that mobile phones have been the focus of cybercriminals for a while now. But Trojanized mobile applications are only one attack scenario. Some problems lie even deeper in your phone. Karsten Nohl, a German researcher who has done a lot of …
Videos are hot these days. People are posting home-made videos of everything from their cats to romantic rants or new songs. Some clever companies are starting to use customer video feedback for social outreach as well, hooking into this new viral craze. Sports fans like me have seen the competitions for the best customer-made commercial on TV, and looked up our favorites on YouTube.
However, with all these videos being created, it creates a new vector for virii or other malware to be downloaded when people view the clips. It’s clear that videos and testimonials are important to the future of marketing and social media, so what remains is a clear need to create, upload, and share videos more securely.
Buzztala, one of Symantec’s partners, has created a Social Video Platform to work with businesses that want to let customers upload videos, testimonials, and other social networking content. Buzztala is running SSL on their hosting platform, and adds the Norton Secured Seal to help customers and businesses feel more secure in how they exchange and save information.
Last week Symantec and Buzztala hosted a Webinar titled, “Building Trust with Your Customers Through Social and Mobile Content.” The new social media: It’s all about building ROI, and trust helps make conversions. Symantec’s own Jeff Barto was one of the presenters. I encourage you to give a listen, and learn something new about the video social outreach. A full replay is available here.
先日、私の好きなバンドが、Twitter でコンサートの無料チケットに当選しました。これは、他の Twitter ユーザーから受け取ったメッセージについてのツイートでした。
図 1. コンサートの無料チケットについて皮肉るツイート
これはセキュリティ上の観点から言えば定番の詐欺のようであり、シマンテックセキュリティレスポンスでさらに調べたところ、その疑惑が裏付けられました。
図 2. スパムアカウントが特定のツイートに返信
ソーシャルネットワーク上で謳われる無料提供と、それが無料ではない実態については、1 年以上前にブログでお伝えしました。こうした偽のアカウントは、特定のキーワードをツイートしたユーザーに対して、デバイスやギフトカードを無料で進呈すると称していました。今回のケースでは、このバンドがアルバムオブザイヤー(AOTY)の選定についてツイートし、その中でカニエ・ウェストの名前を出しました。この「カニエ・ウェスト」という名前が、ランダムな偽アカウントによって監視されているキーワードとして使われていたために、無料チケット進呈というツイートが返信されたのです。Twitter でアーチストの名前(カニエ・ウェスト、J コール、ジェイ・Z、ビヨンセなど)をツイートすると、こうした詐欺ツイートを受け取る可能性があります。
106 & Park は、BET(ブラックエンターテインメントテレビジョン)で平日に放送されているミュージックビデオのカウントダウン番組です。この番組は公式の Twitter アカウントを持っており、フォロワー数は 500 万人以上、ツイート数は 13,000 を超えています。偽の Twitter アカウントは、公式のロゴと背景画像を使って正規アカウントに偽装していますが、通常、こうした偽 Twitter アカウントにはフォロワーがおらず、ツイート数もわずかなため、詐欺であることは一目瞭然です。
図 3. 106 & Park の公式 Twitter アカウント
図 4. 106 & Park の偽 Twitter アカウント
これまでとは違って注意が必要なのは、今回の詐欺アカウントが返信の中に直接はリンクを指定していないことです。代わりに、プロフィールページにアクセスして、プロフィール中のリンクをクリックするよう求めています。
このリンクをクリックすると、BET ブランドについて詳しく書かれたページにリダイレクトされ、最近の有名アーチストの画像が表示されます。
図 5. 無料チケット詐欺のランディングページ
[CLAIM MY VIP TICKETS(VIP チケットを受け取る)]ボタンをクリックすると、ユーザーの個人情報を要求するページにリダイレクトされます。ところが、この情報を詐欺師が受け取っている様子はなく、どちらかというと、この無料チケットプレゼントを正規のものらしく見せる体裁だけが目的のようです。
図 6. VIP 向けプレゼントページで個人情報が要求される
同じページにモバイルデバイスからアクセスした場合には、いくつかのアプリの中から 1 つをインストールするように指示されます。これは、この手の詐欺でアフィリエイトプログラムを通じて金銭を稼ごうとする手法のひとつで、詐欺師は、最近になってこうしたモバイル向けアフィリエイトプログラムを使い始めています。ごく最近では、Twitter の動画共有サービスである Vine のユーザーが狙われた例もあります。
図 7. アプリのインストールを求めるモバイル向けアフィリエイトプログラム
図 8. ワンダイレクションとジャスティン・ビーバーのコンサートの無料チケット進呈を謳う偽ページ
類似の詐欺ツイート
この数カ月間に、ワンダイレクションやジャスティン・ビーバー、リアーナなどの人気スターや、そのコンサートツアーについてツイートしたファンたちも、同様の詐欺ツイートを受け取っています。これらのケースでは、詐欺のランディングページでアンケートの記入を求められます。これも詐欺師が詐欺行為で収益を上げるための常套手段です。
図 9. リアーナの「ダイアモンド・ツアー」の無料チケット進呈を謳う偽ページ
現時点で、このようなタイプの詐欺を拡散している偽の Twitter アカウントは数百あります。最も顕著なのがコンサートチケット詐欺ですが、以下のように、他の餌を使って、これとまったく同様の詐欺も確認されています。
Twitter を使っていて、このように賞品が当選したと称するツイートを受け取った場合は、まず怪しいと疑うべきです。リンクはクリックしないように注意し、Twitter 社に偽アカウントを報告してください。
デジタル時代のファンである以上、コンサートの無料チケットを餌にされた場合には、特に疑ってかかる必要があります。ブランドやアーチストのソーシャルメディア公式アカウントを調べても疑惑が解消されないとしたら、それは詐欺と思って間違いありません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
QR(クイックレスポンス)コードの悪用そのものは、目新しい発想ではありません。昨年、QR コードに埋め込まれた悪質な USSD コードによって、Android スマートフォンの人気機種でデータが消去される恐れがあると判明したケースを覚えている方もいらっしゃるでしょう。QR コードは何年も前から使われていますが、モバイル端末で読み取った場合、そのデータがどうなるのかユーザーにはまったくわかりません。
シマンテックは、QR コードによる悪質なサイトへの自動リダイレクトを防ぐために、ノートン スナップというアプリケーションを作成しました。リンク先アドレスにリダイレクトされる前に、その URL がスキャンされます。すでに、ユーザーから毎日数千件の URL ルックアップ要求が届いています。先月は、総数のうち悪質な URL が占める比率は 0.03% にすぎなかったため、まだ大きなリスクとは見なされていません。しかし、スナック自動販売機の QR コードが乗っ取られ、スナックの料金が別の場所に支払われてしまうというケースがすでに発生しています。
図. Google Glass と QR コード
見てはいけない
Google Glass は現在特に注目を集めているテクノロジのひとつであり、シマンテックの研究室でも調査目的で多くの Google Glass 端末を手に入れました。Google Glass と QR コードの関係について言えば、QR コードを使って設定は簡単になります。何といっても目を使ってテキストを入力するというのはかなり難しいでしょう。セキュリティ企業の Lookout 社が、悪質な QR コードを使って Google Glass を操作できる方法を分析しました。ウェアラブルデバイスは、ユーザーとのインターフェースがこれまでと異なるという性質上、新しい攻撃経路になる可能性があります。Lookout 社によると、QR コードを撮影すると、Google Glass は悪質な恐れのある Wi-Fi アクセスポイントに知らないうちに接続する可能性があります。こうなると、フォトボム(photo-bombing。撮影者の意図に反した被写体が映り込むことを指す俗語)という言葉がまったく新しい意味を持ってきます。Google Glass は一般的な QR コードをすべてサポートしているわけではなく、デバイスの優先 Wi-Fi アクセスポイントの再設定に利用しています。
Google Glass が悪質なアクセスポイントに接続すると、攻撃者はトラフィックをすべて盗聴し、場合によってはユーザーを悪質な Web サイトにリダイレクトします。幸い、Google 社もこの問題を認識しており、すでに修正済みなので、Google Glass で写真を撮るとき、いちいち QR コードを避ける必要はなくなりました。
デバイスを制御する方法は QR コードに限らない……
Google Glass が QR コードによってフォトボムを受ける可能性には注意が必要ですが、モバイルデバイスを悪質な Wi-Fi アクセスポイントに接続させるには、もっと簡単な方法もあります。今では、ほとんどの人がスマートフォンの Wi-Fi 機能を常時オンにしています (Google Glass もです)。つまり、デバイスは接続できる既知のアクセスポイントがないかどうか、周囲の環境を常に調べているわけです。新たに登場したウェアラブルデバイスもインターネット接続を簡単にするために同じように動作すると予測されますが、デバイスが検索するネットワークを簡単な方法で偽装できるソフトウェアも出回っています。WiFi Pineapple という小型デバイスを買えば、必要な操作をすべて自動的に実行してくれます。たとえば、自分のスマートフォンが「myPrivateWiFi」という SSID 名の自宅の Wi-fi ネットワークに常に接続する設定になっているとします。このスマートフォンを持っていった近所のコーヒーショップに、攻撃者が悪質な WiFi Pineapple を取り付けていれば、攻撃者が仕掛けた WiFi Pineapple はスマートフォンが myPrivateWiFi を検索したときに、単にプローブ要求に応えるだけで myPrivateWiFi ネットワークになりすますことができ、その時点から、セッション乗っ取りや盗聴といった典型的な中間者(MITM)攻撃が実行可能になります。この種の攻撃は QR コードを認識しないデバイスでも実行できます。したがって、Google 社が QR フォトボムに対するパッチを公開しても、Wi-Fi 乗っ取りに対する Google Glass の脆弱性は依然として残ることになります。
残念ながら、Google Glass の Wi-Fi 乗っ取りは、すぐに解決できるほど小さな問題ではありません。Wi-Fi ホットスポットを使うたびにデバイスをペアリングするという手間をかけず、すぐに使えるスムーズなユーザーエクスペリエンスが望まれているからです。よく使うアクセスポイントの MAC アドレスと SSID の併用が有効な場合もありますが、ローミングが関係してくると実用的ではなくなりますし、MAC アドレスも WiFi Pineapple で簡単に詐称できてしまいます。
それより現実的な Wi-Fi 乗っ取りの解決策は、ネットワークはどこでも危険なものという前提に立って、すべてのアプリケーションで SSL などの暗号化通信、または VPN 経由のトンネルを使うことです。こうすれば、現在地についても、接続先についても気にする必要はなくなり、安心して日光浴を楽しむことができます。
* QR コードは (株)デンソーウェーブの登録商標です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。