Tag Archives: security

Telugu Movies Continue to be Fraudster’s Favorites

Contributor: Avdhoot Patil

Promotion for Telugu movies has gained momentum in the world of phishing as they continue to be targeted with phishing scams. The phishing site featuring the movie “Brindavanam” is one example. In a more recent case, phishers used a captivating song from the Telugu movie, “Saitan” as bait.
 

Telugu Movies 1 edit.jpg
 

The phishing site displayed a picture from a captivating musical number from the movie “Saitan” starring Telugu actress, Santosh Samrat, and Sri Lankan film and teledrama actress, Akarsha, on the left side of the phishing page. The picture from the musical number was taken from the legitimate movie website. The phishing site was titled, “Samantha & Kajal Very Hot Song” but in fact, these celebrities were not a part of this movie. Phishers used the popularity of these celebrities to attract large numbers of Samantha and Kajal fans.

The phishing page then encouraged users to enter their login credentials and stated that after logging in, they could watch the video. After a user’s login credentials were entered, users were redirected to the legitimate movie website which featured a different song from a different movie, “Ye Maya Chesave”, starring Naga Chaitanya and Samantha Ruth Prabhu.

Due to the intimate nature of the musical number and the use of misleading names, phishers were probably hoping for a large audience, increasing the number of user credentials they could steal. If users fell victim to the phishing site by entering their login credentials, phishers would have successfully stolen their information for identity theft purposes. The phishing site was hosted on a server based in Montreal, Canada.

Internet users are advised to follow best practices to avoid phishing attacks:

  • Do not click on suspicious links in email messages
  • Do not provide any personal information when answering an email
  • Do not enter personal information in a pop-up page or screen
  • Ensure the website is encrypted with an SSL certificate by looking for the padlock, “https”, or the green address bar when entering personal or financial information
  • Update your security software frequently (such as Norton Internet Security which protects you from online phishing)

2013 ???????????????????????????????????????????

2013 年版の『インターネットセキュリティ脅威レポート』では、世界 157 の国や地域から 6,900 万件を超える攻撃の検出情報をまとめ、脅威を取り巻く現状を明らかにしています。今回のレポートでは、標的型攻撃や小規模企業に対する攻撃の増加に加えて、新たな脅威も続々と登場していることを報告しています。

標的型攻撃、ハックティビズム、情報漏えい

標的型攻撃は 2012 年に 42 パーセントの増加を示し、1 日当たりの平均攻撃件数も 116 件に達しました。これはデータ窃盗や産業スパイ事例の増加傾向とも一致しています。攻撃の標的にも変化が見られるようで、これらの標的型攻撃のうち、小規模企業が占める比率が 2011 年に比べて大きくなりました。従業員数 250 人未満の企業を標的とする攻撃件数が全標的型攻撃のうち 31 パーセントと、前年の 3 倍に達しています。そうした小規模企業からも貴重なデータを盗み出せること、そして小規模企業の防御が貧弱であることに攻撃者が気付きはじめたのは明らかです。業種別に見ると製造業が最多となり、標的型攻撃の 24 パーセントを占めています。

標的型攻撃のなかでも顕著な変化が、「水飲み場」型攻撃の登場です。狙った標的がアクセスしそうな Web サイトを改ざんし、その Web サイトにアクセスした標的のコンピュータにマルウェアを侵入させるという手口です。この手口を首尾よく広めたのが「Elderwood」という名前で知られるグループで、わずか 1 日で 500 社もの企業が感染被害に遭いました。

情報漏えいの件数は 2012 年になって減少しましたが、盗み出された個人情報の数は逆に増加し、ほぼ 2 億 4,000 万件に達しています。盗み出された個人情報の大多数は医療や教育、政府機関に関連するものでした。また、外部からの攻撃による情報漏えいの報告数が大半を占める一方で、内部に原因のある攻撃のリスクも依然として無視できません。

脆弱性の悪用とツールキット

ゼロデイ脆弱性は 2012 年は 14 件に増加し、脆弱性の総数は 5,291 件に達しました。モバイル環境における脆弱性も増加し、2012 年には 416 件見つかりました。サイバー犯罪者は、これらの脆弱性を悪用して標的のセキュリティを危殆化するので、パッチや更新が定期的に適用されていない場合、特に無防備になります。新しい脆弱性が見つかるペースは鈍化しているにもかかわらず、攻撃が 30 パーセントも増加したのは、IT 部門におけるそうした怠慢が最大の理由でしょう。

技術的なスキルを持ち合わせていなくても、悪用ツールキットを使えば誰でもサイバー犯罪に手を染められるようになりました。過去に見つかった、ブラウザやプラグインの脆弱性を攻撃に利用できるからです。2012 年には、Web ベースの全攻撃のうち実に 41 パーセントを、Blackhole と呼ばれる悪用ツールキットが占めていました。

ソーシャルネットワーク、モバイル、クラウド

ソーシャルネットワークはスパムの新しい発信源です。ソーシャルメディアを利用した攻撃のうち、56 パーセントが偽の広告でした。ソーシャルネットワークサイトでは個人情報が公開されており、しかもリンクやデータが他のユーザーと共有される傾向も高いため、スパム行為がますます容易になっています。そのほか、マルウェアをインストールさせる偽の「いいね」ボタンや、ユーザーを欺いて偽のブラウザ拡張機能をダウンロードさせる手口も横行しています。

モバイル環境における脆弱性も増え、Apple 社の iOS だけでも 387 件が報告されました。一方 Android プラットフォームでは 13 件の脆弱性しか見つかっていませんが、市場シェアが大きいことやオープンプラットフォームであること、そしてアプリケーションの配布手段が複数あることから、モバイルを狙う脅威の大部分が Android デバイスを標的にしていることも事実です(163 件中 158 件、ただし、重複分はカウントせず)。全体で見ると、モバイルマルウェアは 2012 年に 58 パーセントも増加しています。

クラウドコンピューティングを導入する企業も増えており、全体的に見ればコスト削減とともにセキュリティが向上していますが、クラウドもセキュリティ上の問題と無縁ではありません。信頼性の高くないクラウドプロバイダからでさえ、データを引き出すことは簡単ではありませんが、そのようなプロバイダを攻撃すれば膨大な量のデータが手に入ることに攻撃者も気付いています。今後は、クラウドのインフラを支えている仮想マシンも攻撃されるようになると予測されます。

スパム、フィッシング、マルウェア

ソーシャルメディアを利用したスパムが増加し、司法当局がボットネットを取り締まるなかで、従来型のスパムは減少を続け、電子メールの総数に占める比率は 2011 年の 75 パーセントから 2012 年には 69 パーセントにまで下がりました。定番のコンテンツとしては、医薬品関連にかわってアダルト/セックス/出会い系のスパムが主流となり、スパム総数の 55 パーセントを占めています。減少しているとはいえ、日々送信されるスパムメールは依然として 300 億通を数えます。サイバー犯罪者の戦術上の変化は、電子メールによるフィッシングの減少にも表れており、電子メールの総数に対する比率は、2011 年の 299 通当たり 1 通から、414 通当たり 1 通へと減少しています。

マルウェアは、電子メール 291 通当たり 1 通の割合で発見され、そのうち 23 パーセントには、悪質なコードが埋め込まれた Web サイトにリンクする URL が記載されていました。Web ベースの攻撃は、毎日およそ 247,350 件が遮断されており、2011 年と比較して 30 パーセントも増加しています。また 2012 年は、Mac を明確に狙ったマルウェアが初めて大規模に拡散した年でもありました。Java の脆弱性を悪用した Flashback による攻撃では、60 万台以上もの Mac コンピュータが感染しました。Mac 固有の脅威の数は現在、全体に増加傾向にあります。そのほか、コンピュータをロックしたうえでユーザーに身代金の支払いを要求するランサムウェアなどの新しいマルウェア攻撃も登場しています。

脅威を取り巻く最新の現状について詳しくは、『インターネットセキュリティ脅威レポート』の全編(英語)を参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????: ??????????

      No Comments on ??????: ??????????

モバイルデバイスを対象にしたスパムメッセージについては以前のブログでもお伝えしました。昨年、電子メールによるスパムは前年比 66% にまで減少しましたが、逆にモバイルスパムは、それほどの大流行ではないまでも、しだいに広がりを見せつつあります。

現在、中央ヨーロッパで出回っているのは、「当選券」タイプのスパムです。筆者の知人も、わずか数日間で 8 人がこのスパムを受け取り、そのうち何人かは誘惑に駆られたものの、誰一人として引っかからなかったのは、さすがです。メッセージには、宝くじで 200 万ポンドが当選したと書かれていますが、そんな当選番号を選んだ心当たりも、そもそも宝くじを買った覚えもありません。このような手口の詐欺は、何年も前からさまざまなバリエーションが知られており、賞品も自動車からバカンスまで多岐にわたります。残念ですが、少なくともユーザーの手元に、謳われているような金額が転がり込んでくることはありません。そもそも買っていない宝くじで当選金がもらえるはずもなく、これは前渡し金詐欺の一種にすぎません。詐欺師は最終的に、謳われている賞金を獲得するには譲渡料金または経費を支払う必要があるとして被害者を欺こうとします。

疑問なのは、攻撃者がこの電話番号をどうやって手に入れたかということです。いろいろな方法が考えられます。アドレス帳を盗み出し、そうした情報を売買している何者かの元へと送信する不正モバイルアプリケーションも考えられますし、ユーザーの契約先サービスに侵入してデータを引き出している可能性もあります。あるいは、あるモバイルネットワークで考えられるすべての電話番号に総当たりし、次から次へと送信を試みているだけかもしれません。多くのキャリアは利用可能な番号をかなり隙間なく使っているので、有効な番号に当たる確率は、実際のところかなり高そうです。したがって、こうしたメッセージを受信したとしてもユーザー自身の責任とは限りません。友人のモバイルデバイスが感染して番号をアップロードしてしまった可能性も、あるいは詐欺師が単なる偶然で当たりの番号を選び出しただけという可能性もあるからです。

言うまでもなく、「当たり」を引いたのは詐欺師であって、ユーザーではありません。

いつものように、このようなスパムメッセージには返信しないでください。間違っても、当選を真に受けて仕事を辞めないようにしてください。

2miosms_blurred_0.png

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

2012 Threats in Review – Part 1

      No Comments on 2012 Threats in Review – Part 1

The landscape

This year’s Internet Security Threat Report is very sober reading for SMBs. Last year, targeted attacks on small companies (fewer than 2,500 employees) went up 50%. Yes, it’s true: Criminals realized that money stolen from the SMB would spend just as nicely as money pulled from a large corporation, and was much easier to acquire. Smaller companies have income in the bank, employee and customer data, and sometimes very valuable intellectual property that they’re hoping to make a lot of money with. Yet with all these assets, surveys last year showed that the majority of smaller business owners think they’re too small to be targeted by evildoers.

A secondary problem for the SMB situation is the larger enterprise they want to do business with. With inadequate security, the vulnerabilities for an SMB can be points of entry into larger organizations.  A sophisticated cyber-criminal may choose to target an enterprise’s subsidiaries, partners, or vendors to find inroads into their environment. Compromised SMB websites can also become ‘watering holes’, or lures for phishing or cyber-espionage. Mitigating these risks may create an inevitable march toward more regulations, especially with organizations that wish to do business with any state or government agency.

53% of websites scanned by Symantec in 2012 showed vulnerabilities. The most common vulnerability found was related to cross-site scripting. Many small businesses do not have a dedicated or experienced security force in their IT arsenal. Even for large businesses, a web page or database can be compromised for years without it being discovered internally, or known how to properly harden. Trojans are being inserted into point-of-sale systems and left unfound while data flows out into the wrong hands. Some lie dormant for weeks or months until activated.

A lack of security-specific training for a SMB IT department can also create an environment of success for scareware or ransomware tactics. A small business can spend money on the wrong things, fixing the wrong problems, and by doing so create more problems by trusting the wrong advisors.

Mobile Scam: Winning Without Playing

      No Comments on Mobile Scam: Winning Without Playing

We have blogged before about mobile spam messages, and while email spam declined in the past year to around 66%, mobile spam—although not yet that prevalent—is now gaining ground.
Currently the “winning ticket” theme is making i…

?????????????????????

      No Comments on ?????????????????????

寄稿: Avdhoot Patil

アラブ諸国の各地で最近勃発している紛争は、しばらく前からフィッシング詐欺師の関心を引いています。シリア騒乱を悪用したフィッシング詐欺もその一例ですが、今度は、反政府運動が続くエジプトの政情不安が利用されています。2013 年 3 月には、フィッシングサイトでエジプトのアフマド・シャフィーク元首相が利用されました。フィッシングサイトのホストサーバーは米国ノースカロライナ州に置かれ、ドメイン名には「Ahmed Shafik」の名が使われていました。

blurred_website_600px.png

図 1. アフマド・シャフィーク元首相の公式サイトに偽装したフィッシングサイト

このフィッシングサイトは、一見すると元首相の公式ページのような作りです。アラビア語で書かれたメッセージは、アフマド・シャフィーク元首相に関する最新ニュースを購読するために、2 つのブランドのいずれかを選択するよう促しています。ここで利用されているのは、あるソーシャルネットワークサービスと情報サービスで、どちらかのロゴをクリックすると、ユーザーはそれぞれのログインページに偽装したフィッシングサイトにリダイレクトされます。フィッシングページのコンテンツは、元首相を応援する内容に改変されています。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティなど、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Is antivirus protection for a smartphone really necessary?

Question of the week: I have avast! Free Antivirus on my computer and I love it, but isn’t antivirus for a smartphone overkill?  I mean, there are not so many threats to a phone, are there? This is a question being asked by lots of security firms lately, and the answer is a resounding, YES. […]

Former Egyptian Prime Minister Featured in Phishing Attack

Contributor: Avdhoot Patil
Phishers have already shown interest in the violence that erupted recently in various parts of the Arab world. The phishing attack involving Syria is a good example. Phishers are now taking advantage of the political unrest i…

???????????Brindavanam??????????????

      No Comments on ???????????Brindavanam??????????????

寄稿: Avdhoot Patil

インド映画は、依然としてフィッシング詐欺に好んで利用されています。インド映画『Bodyguard』を題材にしたフィッシングサイトはその一例でしたが、今月に入ってからもシマンテックは、テルグ語の映画『Brindavanam』を餌にしたフィッシング攻撃を確認しました。

image1.jpg

このフィッシングサイトの左側には、女優のサマンサ(Samantha)さんとカジャル・アガルワル(Kajal Aggarwal)さんの出演する映画『Brindavanam』のミュージカルナンバーの画像が掲載されています。画像の下には映画のあらすじも紹介されており、ログインすればビデオを視聴できると称して、ログイン情報を入力するように要求します。ミュージカルナンバーの画像は、この映画の公式サイトから取られたものでした。ログイン情報を入力すると、ユーザーは映画の公式サイトにリダイレクトされ、そこでも同じビデオが紹介されています。フィッシング詐欺師は、ミュージカルナンバーと有名キャストの人気にあやかって多くのユーザーを集めれば、それだけ多くの個人情報を盗み出せると考えたに違いありません。

映画の公式サイトにリダイレクトさせるのは、有効なログイン処理が実行されたとユーザーに信じ込ませるための手口です。この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。今回のフィッシングサイトのホストサーバーは、カナダのモントリオールに置かれていました。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティなど、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

?????????????????????????

      No Comments on ?????????????????????????

寄稿: Christopher Mendes

2013 年 4 月 15 日、多数の参加者が自己の限界に挑みながら完走を目指していたボストンマラソンを卑劣な行為が襲いました。ゴール付近で 2 度の爆発事件が発生したのです。事件が起きてからわずか数時間のうちに、マルウェアが仕組まれた大量のスパムメールが出回りはじめました。

シマンテックは、スパム対策、侵入防止システム(IPS)、ウイルス対策を使う多層型の検出技術で攻撃を遮断しており、シマンテック製品をお使いのお客様はこの攻撃から保護されています。ウイルス対策は、ダウンロードされるファイルを Packed.Generic.402 として検出し、IPS はこの攻撃を Web Attack: Red Exploit Kit Website として検出します。

スパムメール自体はごく単純なものです。メッセージ本文には、[削除済み]/news.html または [削除済み]/boston.html へのリンクが記載されています。

BostonFig1.png

図 1. スパムメールのサンプル

リンクをクリックすると、図 2 のように感染した Web ページが開きます。この Web ページには、事件現場を収めた一連のビデオが表示されています。ページの最後には、読み込み途中のビデオがあり、Red 悪用ツールキットにリンクされています。これが、ユーザーのコンピュータ上でさまざまな脆弱性を悪用します。悪用に成功すると、boston.avi_______.exe というファイルのダウンロードするよう求めるポップアップが表示されます。

BostonFig2.png

図 2. 感染した Web サイト

スパムメールメッセージには、以下のような件名が使われています。

  • 件名: 2 Explosions at Boston Marathon(ボストンマラソンで 2 度の爆発)
  • 件名: Explosion at Boston Marathon(ボストンマラソンで爆発)
  • 件名: Explosion at the Boston Marathon(ボストンマラソンで爆発)
  • 件名: Boston Explosion Caught on Video(ビデオがとらえたボストンマラソン爆発の瞬間)
  • 件名: Boston attack Aftermath(ボストン爆発事件の余波)
  • 件名: Boston Aftermath(ボストンのその後)

BostonFig3_0.png

図 3. ボストンマラソンを悪用するスパムメールの件数

スパマーの意図は、当然ながら爆発事件に関するビデオや情報を共有することではなく、今回の惨劇を悪用してマルウェアを拡散することにあります。

このような卑劣な手段には、引っかからないようにしてください。メールメッセージに記載されている疑わしいリンクはクリックせず、セキュリティソフトウェアを常に最新の状態に更新しておくことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。