For that past several days, Symantec has observed an increase in spam messages containing hexadecimal obfuscated URLs. Hexadecimal character codes are simply the hexadecimal number to letter representation for the ASCII character set. To a computer, he…
寄稿: Avhdoot Patil
フィッシング詐欺の世界では最近も変わらず、サッカーが大人気のようです。2012 年にも、サッカーを利用したさまざまなフィッシング攻撃が確認されましたが、フィッシング詐欺師は早くも 2014 年の FIFA ワールドカップに熱い視線を注ぎ、有名選手やサッカークラブを狙っています。リオネル・メッシ選手のファンを狙った詐欺や、FC バルセロナを利用した詐欺は、そういったフィッシングの一例です。たくさんのファンが付いている有名選手を利用すれば、標的も膨大な数にのぼり、結果的に個人情報を収集できるチャンスも大きくなることを詐欺師は知っています。2013 年 4 月にもこの傾向は続き、同じようなフィッシング詐欺の手口が横行しています。今回のフィッシングサイトは、フランスにある無料の Web ホスティングサイトを利用していました。
このフィッシングサイトでは Facebook のログイン情報を入力するよう要求します。ページにはリオネル・メッシ選手、FC バルセロナ、あるいはクリスティアーノ・ロナウド選手が目立つようにデザインされています。フィッシングページには彼らの画像が掲載され、いずれかの正規の Facebook ページであるかのような印象を与えます。なかには、「first social networking site in the world(世界で最初のソーシャルネットワークサイト)」というタイトルの偽サイトまでありました。ユーザーは、Facebook ページにアクセスするために Facebook のログイン情報を入力するよう求められます。ログイン情報を入力すると、ログインが有効であると思い込ませるようにリオネル・メッシ選手、FC バルセロナ、またはクリスティアーノ・ロナウド選手の正規のコミュニティページにリダイレクトされます。この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
図 1. リオネル・メッシ選手の画像が掲載された偽の Facebook ページ
図 2. FC バルセロナの画像が掲載された偽の Facebook ページ
図 3. クリスティアーノ・ロナウド選手の画像が掲載された偽の Facebook ページ
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
シマンテックは、URL のトップレベルドメイン(TLD)に .pw が含まれるスパムメッセージの増加を確認しています。元々はパラオを表す国別コードトップレベルドメインでしたが、現在は Directi 社を通じて、「Professional Web」を意味するドメインとして誰でも利用できます。
図 1. TLD が .pw のスパムメッセージが急増
まず過去 90 日間の状況を見てみると、.pw は TLD 別の分布リストで 16 位でした。
図 2. 過去 90 日間の TLD 別の分布リスト
ところが、直近の 7 日間を見ると、.pw を含む URL が 4 位に急上昇しています。
図 3. 過去 7 日間の TLD 別の分布リスト
Global Intelligence Network で見つかったメッセージを調べたところ、URL に .pw を含むスパムメッセージの大多数は一撃離脱タイプのスパム(「かんじきスパム」とも呼ばれます)であることが判明しました。
.pw を含む URL スパムについて、過去 2 日間の上位 10 件の件名は以下のとおりです。
図 4. .pw を含むスパムメッセージの例
シマンテックでは、引き続きこの傾向を監視し、こういった攻撃を絞り込むためのフィルタの作成を続ける予定です。また、企業や個人ユーザーの皆さまは、シマンテックインテリジェンスレポートに掲載されている基本的なセキュリティ対策(ベストプラクティス)を実施するようお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Avhdoot Patil
Phishers have recently gained a lot of interest in football. Various phishing attacks using football were observed in 2012. Phishers have already shown their interest in the 2014 FIFA World Cup, football celebrities, and football clubs. Scam for LIONEL MESSI Fans and Scam for FC Barcelona are good examples of phishers using football celebrities and football clubs. Fraudsters understand that choosing celebrities with a huge fan base offers the largest amount of targets which could increase their chances of harvesting user credentials. In April 2013, the trend continued with phishers using the same strategy. The phishing sites were in French on a free web hosting site.
The phishing sites prompted users to enter their Facebook login credentials on pages designed to highlight Lionel Messi, FC Barcelona, or Cristiano Ronaldo. The phishing pages contained images of Lionel Messi, FC Barcelona, or Cristiano Ronaldo and tried to create the false impression that they were the official Facebook page for either Messi, FC Barcelona, or Ronaldo. Some of the fake sites were titled, “first social networking site in the world”. Users were prompted to enter their Facebook login credentials in order to connect to the Facebook page. After a user’s login credentials have been entered, users are redirected to a legitimate Lionel Messi, FC Barcelona, or Cristiano Ronaldo community page to create the illusion of a valid login. If users fell victim to the phishing site by entering their login credentials, phishers would have successfully stolen their information for identity theft purposes.
Figure 1. Fake Facebook phishing page featuring Lionel Messi
Figure 2. Fake Facebook phishing page featuring FC Barcelona
Figure 3. Fake Facebook phishing page featuring Cristiano Ronaldo
Internet users are advised to follow best practices to avoid phishing attacks:
Symantec has observed an increase in spam messages containing .pw top-level domain (TLD) URLs. While it was originally a country code top-level domain for Palau, it is now available to the general public through Directi, who branded it as “Professional Web”.
Figure 1. .pw TLD URL spam message increase
Looking back at the last 90 days, .pw ranked #16 on our TLD distribution list:
Figure 2. TLD distribution list – last 90 days
However, the .pw URL jumps to the fourth spot when looking at the last 7 days:
Figure 3. TLD distribution list – last 7 days
Examining messages found in the Global Intelligence Network, Symantec researchers have found that the vast majority of spam messages containing .pw URLs are hit-and-run (also known as snowshoe) spam.
These are the top ten subject lines from .pw URL spam over the last two days:
Figure 4. .pw URL spam message example
Symantec will continue to monitor this trend and create additional filters to target these attacks. In addition, Symantec also advises enterprises and consumers to adopt the best practices found in the Symantec Intelligence Report.
寄稿: Avdhoot Patil
フィッシング詐欺師は、混迷の続くシリア情勢を依然として悪用しています。メッセージは書き換えられていますが、使われているのは定番のフィッシング用テンプレートです。3 月には、以前のフィッシングサイトで確認されたのと同じ、湾岸諸国の組織の Web サイトが偽装されました。ただし、偽装の内容は、シリアの反対運動を支持するものではなく、シリア国民を支援する国連の計画です。フィッシングページはアラビア語で書かれており、サイトは米国のテキサス州ダラスに置かれたサーバーでホストされていました。
つい最近も、フィッシング詐欺師はシリア現政権を糾弾してユーザーを誘導しようとしましたが、今回は特に、バッシャール・アル・アサド大統領が利用されています。シマンテックが確認したフィッシングサイトには、シリア大統領を戦争犯罪人として糾弾することに賛同するよう求めるメッセージが、アラビア語で書かれています。そこに、賛同するか賛同しないかを投票するオプションがあり、投票できるのは 1 回だけという注意書きまでありました。
図 1. バッシャール・アル・アサド大統領の糾弾に賛同するかどうかの投票
賛同するオプションを選択すると、次のページでは、投票を送信して有効票として認識させるために、4 種類の電子メールサービスプロバイダから 1 つを選択するよう求められます。
図 2. 投票するために電子メールサービスプロバイダを選択
いずれかを選択すると、その電子メールサービスプロバイダのログインページに偽装したフィッシングページにリダイレクトされます。ログイン情報を入力すると、フィッシングページから確認ページにリダイレクトされ、投票が正常に処理されたことと、結果が 2013 年 4 月 5 日に発表されることが伝えられます。不幸にも、このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
図 3. 投票の確認ページ
フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Avdhoot Patil
Phishers are not letting go of the chaos in Syria. They are using a common phishing template and modifying the messages. In March, phishers mimicked the same website of an organization in the Arab Gulf States observed in a pr…
寄稿: Avdhoot Patil
テルグ語の映画がフィッシング詐欺に利用されるケースが続発しており、フィッシングサイトで同様の映画がさかんに宣伝されています。映画『Brindavanam』を題材にしたフィッシングサイトもその一例ですが、最近では、テルグ語の映画『Saitan』の魅力的な楽曲がフィッシング詐欺の餌として利用されています。
このフィッシングサイトの左側には、テルグ人女優のサントーシュ・サムラート(Santosh Samrat)さんとスリランカ人女優のアカーシャ(Akarsha)さんが出演する映画『Saitan』の魅力的なミュージカルナンバーの画像が掲載されています。この画像は、この映画の公式サイトから取られたものです。サイトのタイトルは「Samantha & Kajal Very Hot Song」(サマンサとカジャルの超ホットなナンバー)になっていますが、当の 2 人は映画に出演していません。フィッシング詐欺師たちは、有名女優である Samantha(サマンサ)さんと Kajal(カジャル)さんの人気を利用して、大量のファンを集めようとしたのです。
さらにこのページでは、ユーザーにログイン情報の入力を促し、ログインすればビデオが見られると謳っています。ログイン情報を入力すると、映画の公式サイトが表示されますが、そこで流れるのはナーガ・チャイタニヤ(Naga Chaitanya)さんとサマンサ・ルース・プラブ(Samantha Ruth Prabhu)さんが出演する別の映画『Ye Maya Chesave』の別の曲です。
親しみやすいミュージカルナンバーと誤解を招くような有名人の名前を使っていることから、フィッシング詐欺師は、多くのユーザーを集めれば、それだけ多くの個人情報を盗み出せると考えたに違いありません。この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。今回のフィッシングサイトのホストサーバーは、カナダのモントリオールに置かれていました。
インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
McAfee Labs Messaging Security recently observed a spam campaign based on the Boston Marathon bombing and the Texas fertilizer plant explosion. The messages take advantage of our interest in these tragic events to lure victims to malware and exploits. Last week my colleague Paras Gupta blogged about the use of the Black Hole exploit kit Read more…
Contributor: Avdhoot Patil
Promotion for Telugu movies has gained momentum in the world of phishing as they continue to be targeted with phishing scams. The phishing site featuring the movie “Brindavanam” is one example. In a more recent case, phishers used a captivating song from the Telugu movie, “Saitan” as bait.
The phishing site displayed a picture from a captivating musical number from the movie “Saitan” starring Telugu actress, Santosh Samrat, and Sri Lankan film and teledrama actress, Akarsha, on the left side of the phishing page. The picture from the musical number was taken from the legitimate movie website. The phishing site was titled, “Samantha & Kajal Very Hot Song” but in fact, these celebrities were not a part of this movie. Phishers used the popularity of these celebrities to attract large numbers of Samantha and Kajal fans.
The phishing page then encouraged users to enter their login credentials and stated that after logging in, they could watch the video. After a user’s login credentials were entered, users were redirected to the legitimate movie website which featured a different song from a different movie, “Ye Maya Chesave”, starring Naga Chaitanya and Samantha Ruth Prabhu.
Due to the intimate nature of the musical number and the use of misleading names, phishers were probably hoping for a large audience, increasing the number of user credentials they could steal. If users fell victim to the phishing site by entering their login credentials, phishers would have successfully stolen their information for identity theft purposes. The phishing site was hosted on a server based in Montreal, Canada.
Internet users are advised to follow best practices to avoid phishing attacks: