Tag Archives: spam

?????????????????????????

      No Comments on ?????????????????????????

寄稿: Avdhoot Patil

サッカーのクラブチーム有名選手、関連イベントを狙うのは、どうやらフィッシング詐欺師の習性のようです。詐欺師は卑劣な行為を繰り返しており、特にサッカーを標的にしています。今回、目を付けたのは、レアル・マドリード C.F. です。スペインのマドリードに本拠を置く同クラブは、世界で最も裕福なサッカークラブの 1 つであり、お数多くのファンを抱えています。

Real Madrid fake login.png

図. 偽のフィッシング Facebook ページ。レアル・マドリードとクリスティアーノ・ロナウド選手の画像が使われている。

この図にあるように、フィッシングページは、レアル・マドリードを強調したデザインのページコンテンツで、ユーザーに Facebook のログイン情報を入力するよう求めます。このページのタイトルは「Facebook Real Madrid Login」で、背景には同クラブのクリスティアーノ・ロナウド選手の画像が使われています。ユーザーがログイン情報を入力すると、このフィッシングサイトからレアル・マドリードの正規の Facebook コミュニティページにリダイレクトされます。正規のページにリダイレクトするのは、正当なログインだと思わせるためです。このフィッシングサイトの手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪の被害者になってしまいます。

たくさんのファンが付いている有名選手やサッカーチームを利用すれば、標的も膨大な数にのぼり、結果的に個人情報を収集できるチャンスも大きくなることを詐欺師は知っています。2013 年 6 月にもこの傾向は続き、同じようなフィッシング詐欺の手口が横行しています。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を入力しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
  • 偽の Web サイトや電子メールを見かけたら報告する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????? 2013 ??????

      No Comments on ????????????? 2013 ??????

寄稿: Vivek Krishnamurthi

国際的なダンス競技会である「ダンスグランプリヨーロッパ」が 6 月 12 日からスペインで開催されます。この競技会は、さまざまなダンススクールのトップダンサーを披露することを目的として開催される大きなイベントであり、世界中のダンサーたちを惹きつけてやみません。スパマーも同じようにこの舞台に注目し、詐欺メールを拡散する機会を狙っています。
 

image1_0.jpeg

図 1. ダンスグランプリヨーロッパ 2013 を利用したスパム
 

ユーザーの関心を引こうとして、スパムメールでは、このイベントで人気を呼びそうな内容を紹介したうえで、参加費用は「格安」で追加料金もいっさい不要と謳っています。URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。
 

dancescam-fake2.png

図 2. 海賊版の Web サイト。正規サイトと似ているが、連絡先情報(緑の線で囲まれた部分)が異なる
 

dancescam-real.png

図 3. オリジナルの正規のイベント Web サイト
 

注目に値するのは、偽の Web サイトに信憑性を持たせるために、オンラインの訪問者を観測するウィジェットをページの左下に追加し、オンラインユーザー数と称してランダムな数字を表示している点です。このスパム攻撃の主な動機は、ユーザーを誘い出してその個人情報や口座情報を手に入れることにあります。十分に注意を払い、リンクはクリックしないようにしてください。

このスパム攻撃で確認されている件名の例を以下に挙げます。

  • 件名: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.(ダンスグランプリヨーロッパ、2013 年 6 月 12 日から 16 日まで開催。世界中のダンススクールやグループが競う)
  • 件名: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.(グランプリはスペインで開催。ダンススクールとグループのための競技会、2013 年 6 月 12 日から 16 日まで)
  • 件名: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!(ダンスグランプリヨーロッパ、2013 シーズン開幕のお知らせ! ホリデーシーズンを前に、記念すべき「2013 ダンス年」を祝してあなた自身にも、スクールやグループにも贈り物はいかがですか。ヨーロッパダンス競技会の参加予約は、今すぐ!)

ダンスグランプリヨーロッパ 2013 にちなんだ迷惑メールや心当たりのない電子メールの扱いには注意して、スパム対策のシグネチャは定期的に更新するようにしてください。シマンテックでも、最新の脅威に関する最新の情報をユーザーのみなさんにお届けできるよう、24 時間 365 日の態勢でスパムを監視しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers Now Target Real Madrid Fans

Contributor: Avdhoot Patil
It seems that targeting football clubs, football celebrities, and football events has become a habit for phishers. They continue their uncivilized activities and in particular single out football. Now, phishers have set their…

??????????????

      No Comments on ??????????????

贈り物を準備しながら、父親に感謝と親愛の気持ちを伝える日を指折り数えて待っている人も多いことでしょう。今年の父の日は 6 月 16 日です。先月は「母の日を悪用するスパムが今年も登場」と題するブログを公開しましたが、今度は父の日に向けて、Symantec Probe Network でスパムメッセージが検出され始めています。スパムメールのほとんどは、お買い得商品、偽アンケート、高級腕時計のコピー商品などでユーザーを誘おうとするものです。スパムメッセージに含まれている URL をクリックすると、偽広告が掲載された Web サイトにリダイレクトされます。

Figure1_1.png

図 1. ギフト広告スパム

Figure2_0.png

図 2. 父の日を利用した商品広告スパム

スパマーはいつでも無防備なユーザーの隙を狙い、偽広告で宣伝されている商品を購入するためと称して個人情報を入力させようとします。最近も、URL に .pw を含むスパムメッセージが増加していることをお知らせしたばかりですが、大きなイベントやフェスティバル、祝祭日の前後には、.pw のトップレベルドメイン(TLD)を含むメッセージの増加が今もなお確認されています。父の日スパムでは、URL に .pw を使った差出人として以下のような例が確認されています。

  • 差出人: “Personalized Father’s Day Gifts”(名前入りの父の日ギフト)<support@[削除済み].pw>
  • 差出人: Quick Father Gifts(お手軽な父の日ギフト)<cigarformen@[削除済み].pw>
  • 差出人: Cigars for Dad(お父さんに葉巻を贈ろう)<cigarformen@[削除済み].pw>
  • 差出人: Fathers Day Cigars(父の日の葉巻)<cigarformen@[削除済み].pw>

Figure3_0.png
図 3. 父の日を餌に利用した偽ディスカウントスパム

スパマーは、宣伝されている商品を偽のクーポンコードで購入できると誘い、「オリジナルと同じ素材を使用」などという売り文句でユーザーを欺きます。このスパム攻撃で使われているディスカウントコードは、dad[ランダムな数字] や father[ランダムな数字] などの形式で、父の日のセールを利用しようとするユーザーを誘導してリンクをクリックさせることを狙っています。

Figure4_0.png

図 4. 偽のディスカウント商品で誘うスパム

シマンテックでは、父の日にちなんだスパム量が増えていることを確認しています。次のグラフをご覧ください。

Figure5.png

図 5. 父の日スパムの件数の傾向

最近のスパム攻撃で使われている件名の例を以下に示します。

  • 件名: 15 Cigars for 29.95 (68% off Fathers Day sale!)(15 本入り葉巻が 29.95 ドル(父の日限定 68% オフ!))
  • 件名: The perfect gift for Fathers day only costs 32% of the original price!(父の日に最高のギフトが、元値のたった 32% !)
  • 件名: Regarding Father’s Day orders(父の日のご注文について)
  • 件名: Personalized Gifts for All The Dads In Your Life(お父さんに名前入りのギフトを)
  • 件名: Top Personalized Fathers Day Gifts(父の日の名前入りギフト)
  • 件名: Get relief from chronic spine conditions. Father’s Day Discount Available(慢性的な背中の痛みにさようなら。父の日ディスカウントあり)
  • 件名: Don’t forget your father(お父さんのことを忘れないで)
  • 件名: Don’t forget about your father(たまには、お父さんのことを思い出そう)
  • 件名: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card(父の日アンケートに答えて、25 ドル相当の xxx ギフトカードをもらおう)
  • 件名: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available(頸椎手術や脊椎に代わる内視鏡が登場。父の日の割引特典あり)

迷惑メールや心当たりのない電子メールを受信したときには、くれぐれもご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、父の日スパムの厳重な監視を続けています。

どうぞ、素晴らしい父の日を安全にお迎えください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???: ?????????????

      No Comments on ???: ?????????????

竜船祭は、端午節とも呼ばれ、中国をはじめとする東アジア各地で 2,000 年以上前から伝統的に祝われてきた重要な祝日です。人々はこの日、象徴的な一連の行事によって夏の伝染病や悪霊を追い払います。古来、夏というのは重い病気をもたらす病害虫や蛇、ノミの季節であると考えられてきたからです。

竜船祭の日には、竜船(ドラゴンボート)競技を開催するほか、蒸したもち米を竹の皮で包んだもの(ちまき)を食べる、薬用酒(雄黄酒)を飲む、生薬を使った香り袋を身に着けるなど、さまざまな伝統儀式があります。こうした行事の多くは商業的な要素を含んでいるため、スパマーもひと儲けするチャンスを抜け目なく狙っています。

今年は 6 月 12 日が竜船祭に当たっており、それに先立つ期間にシマンテックは、竜船祭に関係するスパムを大量に遮断しています。

dragon_boat_spam.png

図. 竜船祭にちなんだサンプルスパムメール

疑わしいリンクが掲載されている迷惑メールの扱いには、改めてご注意ください。終わることのないスパムの処理に閉口している方には、受信ボックスに届く前に迷惑メールを遮断する、シマンテックの最新のスパム対策製品をお勧めします。スパムに悩まされることなく、楽しい竜船祭をお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Scammers Take Advantage of Dance Grand Prix Europe 2013

Contributor: Vivek Krishnamurthi

The International Dance Competition “Dance Grand Prix Europe” is set to begin June 12 and will be hosted in Spain. The purpose of the competition is to showcase all the top dancers from various dance schools and this major event attracts choreographic talent from around the world. Spammers also don’t want to miss this event and the opportunity to circulate a scam.
 

image1_0.jpeg

Figure 1. Dance Grand Prix Europe 2013 spam
 

To grab the reader’s attention, the spam email reveals some appealing facts about the event along with “only a little fee” required but no additional charges for participation in the event. Clicking the URL will automatically redirect the user to a website containing a bogus offer.
 

dancescam-fake2.png

Figure 2. Pirated website looks like original, changed contact information (green box)
 

dancescam-real.png

Figure 3. Original and legitimate event website
 

Interestingly, to trick users into trusting the fake website, spammers also added a widget at the bottom left of the page that monitors online visitors and displays a random number of users online. The main motive of these spam campaigns is to lure recipients and acquire their personal and financial information. Users should be careful and avoid clicking the links.

Some of the subject lines observed in this spam campaign include the following:

  • Subject: DanceGrandPrixEurope from the 12th to 16th June 2013. Competition for Dance Schools/Groups from all over.
  • Subject: Grand Prix Spain. Competition for Dance Schools&Groups from the 12th to 16th June 2013.
  • Subject: Greetings from all of us at Dance grand Prix Europe Season 2013! As Holiday Season approaches. GIFT YOURSELF & Your School/Groups a “DanceYear” 2013 to remember! Book our European Dance Competitions now!

Symantec advises users to be cautious when handling unsolicited or unexpected emails related to the Dance Grand Prix Europe 2013 and to update antispam signatures regularly. Symantec also monitors spam attacks around-the-clock to ensure users are kept up to date on the latest threats.

Beware of Fake Gift Offers for Father’s Day

A lot of people are counting down the days until they can express their appreciation and love towards their dads by giving them gifts for Father’s Day, which is celebrated on June 16. Last month we published a blog called Spammers Continue to Exploit Mother’s Day, now it’s the turn of Father’s Day, as spam messages have started flowing into the Symantec Probe Network. Most of the spam emails attempt to encourage users to take advantage of product offers, fake surveys, and replica watches. Clicking the URL contained in the spam message automatically redirects the user to a website containing a bogus offer.

Figure1_1.png

Figure 1. Gift offer spam

Figure2_0.png

Figure 2. Product spam related to Father’s Day

Spammers will always try to take advantage of unsuspecting users by asking them to input personal information to avail of bogus offers for purchasing products. Symantec recently blogged about the rise of .pw URLs in spam messages and we are currently observing an increase in spam messages containing the .pw top-level domain (TLD) URLs in and around the times of major events, festivals, and holidays. Below are some examples of the From header, using .pw URLs, that have been observed in Father’s Day spam:

  • From: “Personalized Father’s Day Gifts” <support@[REMOVED].pw>
  • From: Quick Father Gifts <cigarformen@[REMOVED].pw>
  • From: Cigars for Dad <cigarformen@[REMOVED].pw>
  • From: Fathers Day Cigars <cigarformen@[REMOVED].pw>

Figure3_0.png
Figure 3. Fake discount spam using Father’s Day as a lure

Spammers invite users to purchase the advertised product with a bogus coupon code and make false promises such as claiming the “materials used are the same as original.” The discount codes used in the spam attacks, such as dad[RANDOM NUMBERS] and father[RANDOM NUMBERS], attempt to lure users into clicking a link in order to take advantage of the Father’s Day offer.

Figure4_0.png

Figure 4. Fake product discount spam

Symantec is observing an increase in spam volume related to Father’s Day, which can be seen in the following graph.

Figure5.png

Figure 5. Volume trend of Father’s Day spam

Below are some of the subject lines used in this latest spam campaign:

  • Subject: 15 Cigars for 29.95 (68% off Fathers Day sale!)
  • Subject: The perfect gift for Fathers day only costs 32% of the original price!
  • Subject: Regarding Father’s Day orders
  • Subject: Personalized Gifts for All The Dads In Your Life
  • Subject: Top Personalized Fathers Day Gifts
  • Subject: Get relief from chronic spine conditions. Father’s Day Discount Available
  • Subject: Don’t forget your father
  • Subject: Don’t forget about your father
  • Subject: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card
  • Subject: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available

Symantec advises users to use caution when receiving unsolicited or unexpected emails. We are closely monitoring Father’s Day spam attacks to ensure that users are kept up to date with information on the latest threats.

Have a safe and happy Father’s Day!

Dragon Boat Festival: Now Driving Away Spam Too

The Dragon Boat Festival, also known as the Duanwu Festival, is an important traditional holiday that has been celebrated by Chinese people as well as other people in East Asian societies for nearly 2,000 years. It is a day for people to drive away epi…

Waledac ??: Trojan.Rloader.B

      No Comments on Waledac ??: Trojan.Rloader.B

W32.Virut に感染したシステムで W32.Waledac.D(Kelihos)のダウンロードが確認されたことを、少し前にこのブログでもご報告しました。シマンテックは Waledac の進化を何年も追い続けており、過去に実施された停止の試みに対してこのボットネットが非常に強い回復力を持っていることを確認しています。Waledac は従来、1 日に最大で 2000 通もの悪質な電子メールを送信するスパムボットネットとして知られてきました。
 

image1_1.png

図 1. W32.Waledac.D のスパム
 

過去 2 カ月間で、Waledac の感染数はますます増えており、その感染の大部分は米国が起源であることが確認されています。
 

graph.png

図 2. W32.Waledac.D に感染したコンピュータ数の多い上位 10 カ国
 

W32.Waledac.D に感染したコンピュータは、別のマルウェアも拡散していました。これは、当初 Backdoor.Tidserv として検出されていましたが、シマンテックの解析結果に基づいて、Trojan.Rloader の新しい亜種、Trojan.Rloader.B であることが確認されています。他の亜種と同様、Trojan.Rloader.B の主要機能もクリック詐欺が中心です。
 

image2_0.png

図 3. Trojan.Rloader.B の攻撃手順
 

Trojan.Rloader.B は、被害者のコンピュータ上で最初に実行されたときに物理マシン上で実行されているかどうかを確認し、仮想マシン内で実行されていることがわかると自身を終了します。仮想マシンでは、ウイルス対策ソフトウェアやマルウェアの解析に利用できるツールが実行されていることがよくあるからです。次に、Trojan.Rloader.B は侵入先のホストに関する情報を収集し、コマンド & コントロールサーバーに送信して、侵入先のコンピュータを登録します。また、この段階で Windows のホストファイルを改ざんして、多くの有名な検索エンジンが、検索結果に埋め込まれたポップアップ広告を表示する悪質な IP アドレスにリダイレクトされるようにします。

さらに、Trojan.Rloader.B は Mozilla Firefox と Internet Explorer の両方を標的として、検索要求が http://findgala.com にリダイレクトされるようにブラウザの設定を変更します。このとき同時に、感染したコンピュータ上では広告も表示されます。

シマンテックが調査を進める中で、2 つ目のクリック詐欺コンポーネントを投下する Trojan.Rloader.B の存在が判明しました。以前のブログで説明したように、以前は Trojan.Spachanel として検出されていたコンポーネントです。Trojan.Spachanel は実行されると、侵入先のコンピュータでブラウザにポップアップ広告を読み込ませる JavaScript をインジェクトします。
 

image3.gif

図 4. ポップアップ広告の例
 

シマンテックは、Rloader の新しい亜種を Trojan.Rloader.B として検出する定義を追加しました。Spachanel のクリック詐欺モジュールを Trojan.Spachanel として検出する定義も更新しています。今後も Waledac ボットネットの活動の監視を続けつつ、適切な保護対策を提供していく予定です。ボットネット感染に対する万全の備えとして、シマンテックの最新技術(英語)をお使いいただくことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????? Facebook ?????????

      No Comments on ???????????? Facebook ?????????

寄稿: Avdhoot Patil

フィッシング攻撃のプラットフォームとしてソーシャルネットワークサイトを集中的に利用する例が後を絶ちません。シマンテックでも、ソーシャルネットワークに関連したフィッシング攻撃を何度も確認しています。フィッシングの餌としては、有名人を利用した宣伝、偽のアプリケーション、無料の通話時間、懸賞などが多用されています。最近では、トルコの Facebook ユーザーを標的としたフィッシング攻撃で、トルコ警察が悪用された例があります。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

Phishers_Turkish_police.png

図. トルコ警察の正規の Web ページに見せかけたフィッシングサイト

このフィッシングサイトはトルコ語で書かれており、トルコの治安局長が所有者だと謳っています。さらに、トルコ警察が最近 Facebook アカウント情報の盗難を確認したため、Facebook の情報漏えい対策として Web サイトを作成したという説明が続きます。また、トルコの刑法に従って、ユーザーは正しい情報を入力する必要があり、ログイン情報を入力すれば、ユーザーアカウントの保護申請が警察に送信されると書かれています。

フィッシングページには、アンカラにあるトルコ警察本庁の名前と住所が記され、このメッセージはトルコ警察のセキュリティシステムから送信されたことになっていますが、言うまでもなく、フィッシングサイトはユーザーのログイン情報を盗み出す目的で作成されたものです。ログイン情報を入力すると、フィッシングページは正規の Facebook サイトにリダイレクトされます。

このフィッシング詐欺に引っかかってログイン情報を入力すると、詐欺師に情報を盗み出されてしまいます。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
  • 偽の Web サイトや電子メールを見かけたら通知する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。