Tag Archives: Symantec Protection Suites (SPS)

?????????????????????

      No Comments on ?????????????????????

ここ数週間で、「ペニーストック」関連のスパムメールが急増していることが確認されています。2011 年に「世界的な信用危機のニュースで株価操作詐欺が急増」というタイトルのブログを公開しましたが、そこでもこの種のスパムに触れています。

ペニーストック(セントストックとも呼ばれます)とは安値で取引される小型株のことで、1 株あたり数セントで取引されることも珍しくありません。ペニーストックは、スパマーによって頻繁に利用されています。スパムメールで安値の株を宣伝し、「この会社はもうすぐ大成功するから株価が急騰する」と謳うのです。そこには、会社が実際よりも価値が高く、何らかの目玉商品が完成したか、あるいはもうすぐ大躍進を遂げるはずであり、株価の急騰が予想されると書かれています。この手の詐欺の目的は、株の人気をつり上げ、その結果株価が上がったところで、持ち株を購入時よりもはるかに高い値段で売り抜けることです。このような株価操作詐欺の手法を「パンプアンドダンプ」と呼びます。

株に関連したスパムで利用されている手法には、単語の間に空白を挿入する、不要な改行で不明瞭化する、電子メールの件名や本文にランダムな文字を挿入するなど、さまざまなものがあります。

Figure1.png

図 1. ペニーストック関連のスパムメール

シマンテックでは、次のグラフに示すように、株に関連したスパムの量が増えていることを確認しています。

Figure2.jpg

図 2. 株に関連したスパムメールの量の傾向

こういった攻撃で頻繁に見られるメールの件名として、次のようなものがあります。

  • 件名: Stock Picking Contest, Sign Up Today(株争奪、今すぐ登録を)
  • 件名: “Before The Close” From Standout Stocks!(「締切間近」の目玉株!)
  • 件名:  A Royal Treat To Start The Week(週明けのお楽しみ)
  • 件名: Expect More from this Bull(この強気筋は期待大)
  • 件名: Explosive Pick Coming(争奪戦来たる)
  • 件名: It Is Our Hot New Trade Alert!(最新取引のお知らせ!)
  • 件名: Its trading levels could be Set to Explode!(取引レベル急騰の可能性あり!)
  • 件名: Let`s Do It Again! Tonight We Have Another Breaking Bull!(再び! 今夜新たな強気筋あり!)
  • 件名: This Company Shows Gains(この会社は儲かる)
  • 件名: This Company shows Strength(この会社は強い)
  • 件名: What a Fantastic Week! Our Members had the Opportunity to Make Some Serious Gains!(最高の週! 会員様に大儲けのチャンス到来!)

迷惑メールや心当たりのない電子メールには注意し、スパム対策のシグネチャは定期的に更新するようにしてください。シマンテックでは、このような「パンプアンドダンプ」スパム攻撃を厳重に監視しており、この傾向の監視を続けて読者の皆さまに最新の情報をお届けする予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Phishers Offer Rita Ora’s Video

Contributor: Avdhoot Patil
Celebrity scandals are always popular and phishers are keen on incorporating them into their phishing sites. Recently, we observed a phishing site featuring British singer and actress Rita Ora. The phishing site was hosted on…

Increase in Pump and Dump Stock Spam

In the last few weeks we have observed a drastic increase in “penny stock” spam emails. In 2011 Symantec published a blog entitled Global Debt Crises News Drives Pump-and-Dump Stock Scams, which also dealt with this type of spam.

Penny stocks, also known as cent stocks, are shares in small companies that trade at low prices, often as low as a few cents per share. Penny stocks are a very popular topic used by spammers. The spam emails advertise the cheap shares and state that the company is on the verge of becoming very successful and that the value of the shares will rise significantly. The emails make out that the company is more valuable than it actually is and implies that they have just created some major product or are on the verge of a breakthrough and that the share value is tipped to rise dramatically. The aim is to increase sales of the stock, which in turn raises the value, then the fraudster can sell their penny stocks for significantly more than they paid for them. This stock fraud method is known as “pump and dump.”

We are seeing various spam methods being used in stock spam such as broken words, obfuscation with irrelevant line spaces, and insertion of randomized characters in the header or body of the emails etc.

Figure1.png

Figure 1. Penny stock spam emails

Symantec is observing an increase in spam volume related to stock spam, which can be seen in the below graph.

Figure2.jpg

Figure 2: Volume trend of stock spam email

Below are the most frequently observed subject lines in these attacks:

  • Subject: Stock Picking Contest, Sign Up Today
  • Subject: “Before The Close” From Standout Stocks!
  • Subject: A Royal Treat To Start The Week
  • Subject: Expect More from this Bull
  • Subject: Explosive Pick Coming
  • Subject: It Is Our Hot New Trade Alert!
  • Subject: Its trading levels could be Set to Explode!
  • Subject: Let`s Do It Again! Tonight We Have Another Breaking Bull!
  • Subject: This Company Shows Gains
  • Subject: This Company shows Strength
  • Subject: What a Fantastic Week! Our Members had the Opportunity to Make Some Serious Gains!

Symantec advises users to be cautious when handling unsolicited or unexpected emails and to update antispam signatures regularly. Symantec is closely monitoring these “pump and dump” spam attacks and will continue monitoring this trend to keep our readers updated.

Fake Promotional Offers Targeting UEFA Champions League 2013

The 58th season of the UEFA Champions League is coming to an end with the final being played on May 25 at Wembley Stadium in London. Nowadays, cybercriminals are gaining a lot of interest in football, at least inasmuch as how to exploit interest in foo…

Escrow Scams Searching New Avenues

Contributor:  Binny Kuriakose
People dream big when buying expensive items like a car or a property. When those dreams are seen with very affordable price tags it certainly attracts everybody’s interest. There are lots of websites available …

Spammers Continue to Exploit Mother’s Day

Mother’s Day is celebrated in many countries on May 12 and it’s a day for children, regardless of age, to express their love to their mother by giving her a gift. Spam messages related to Mother’s Day have begun flowing into the Symantec Probe Network. Clicking the URL contained in the spam message automatically redirects the recipient to a website containing a bogus Mother’s Day offer upon completion of a fake survey.

mothers 1.png

Figure 1: Survey spam targeting Mother’s Day

Once the survey is completed, a page is then displayed asking the user to enter their personal information in order to receive the bogus offer.

mothers 2.png

Figure 2: Fake survey

 

mothers 3.png

Figure 3: Bogus Web page asking for personal information

We recently blogged about the persistence of spam with .pw URLs and not surprisingly a lot of the Mother’s Day spam messages contain .pw top-level domain (TLD) URLs. The following are some examples of the From header using .pw URLs that we have identified to date:

  • From: Mother’s Day Gifts <Check@[REMOVED].pw>
  • From: “Early Bird Mother’s Day Flowers” <postmaster@[REMOVED].pw>
  • From: “Early Bird Mother’s Day Bouquets” <noreply@[REMOVED].pw>
  • From: “Mother’s Day Bouquets” <MothersDayBouquets@[REMOVED].pw>
  • From: “Mom” <Mom@[REMOVED].pw>

 

mothers 4.png

Figure 4: Another dodgy website related to Mother’s Day

Symantec is observing an increase in spam volume related to Mother’s Day, which can be seen in the following graph.

mothers 5.png

Figure 5: Volume of Mother’s Day spam

The following are some of the Subject lines observed for these spam attacks:

  • Subject: Don’t Forget Mother’s Day – $19.99 Chocolate, Dipped Strawberries
  • Subject: Stunning Personalized Gifts for Mother’s Day
  • Subject: Top Personalized Mother’s Day Gifts
  • Subject: Make Mother’s Day Special With A Personalized Gift
  • Subject: Mother’s Day Car Deal (Half Off Every Make And Model)
  • Subject: Regarding Mothers Day
  • Subject: Celebrate Mom with a $19.99 bouquet.
  • Subject: Mother’s Day Replica’s Women’s Accessories
  • Subject: Mother’s Day Secret Formula.

Symantec advises our readers to use caution when receiving unsolicited or unexpected emails. We are closely monitoring Mother’s Day spam attacks to ensure that readers are kept up to date with information on the latest threats.

Have a safe and happy Mother’s Day!

.pw URLs in Spam Keep Showing Up

Last week, Symantec posted a blog on an increase in spam messages with .pw URLs. Since then, spam messages with .pw URLs have begun showing up even more.
 

pw TLD blog update.png

Figure 1. .pw TLD spam message increase
 

Symantec conducted some analysis into where these attacks are coming from in terms of IP spaces. As expected, Symantec observed a large quantity of mail being sent from an IP range and then moving to another IP range. While this is an expected behavior, there was an interesting twist. There were multiple companies (with different names) hosting .pw spammers using the same physical address in Nevada. 

Examining messages found in the Global Intelligence Network, Symantec researchers have found that the vast majority of spam messages containing .pw URLs are hit-and-run (also known as snowshoe) spam. The top 25 subject lines from .pw URL spam from May 1, 2013 were:

  • Subject: For all the moms in your life on Mother’s Day.
  • Subject: Tax Relief Notification
  • Subject: Remove IRS Tax Penalties
  • Subject: Save on the most beautiful bouquets for Mom
  • Subject: Reusable K Cup for Keurig or single-brew coffee maker
  • Subject: Garden Today says, “By far the easiest hose to use”
  • Subject: HOME: Amazingly Strong water hose you can fit anywhere.
  • Subject: The LAST water hose you’ll ever need
  • Subject: No Hassle Pricing on Ford Vehicles
  • Subject: Own a NEW Ford for the Summer
  • Subject: May 1st Ford Clearance Event
  • Subject: Lasik- Safe, Easy, and Affordable
  • Subject: Safe, Easy, and Affordable Lasik
  • Subject: We work with the Biggest and Best Brands in Fashion
  • Subject: Whos the hottest? Post . Vote . Win
  • Subject: Are You and Your Business seen at a global scale?
  • Subject: Power your entire House, Pool and more with Solar Energy
  • Subject: Most EFFECTIVE way to treat Hypertension
  • Subject: Solar power slashes your electric bill in half
  • Subject: Global Business Registry for Networking Professionals
  • Subject: Finally, an EFFECTIVE fat shredding solution
  • Subject: Register with other professionals
  • Subject: Easiest Way To Lower Blood Pressure
  • Subject: Secret To Lowering Blood Pressure Naturally
  • Subject: Refinance Today, Save Tomorrow

In addition to creating anti-spam filters as needed, Symantec has been in contact with Directi and working with the registrar to report and take down the .pw domains associated with spam. Symantec believes that collaborating with the registrar is a more progressive and holistic approach to solving this problem.

The Hexadecimal URL Obfuscation Resurgence

For that past several days, Symantec has observed an increase in spam messages containing hexadecimal obfuscated URLs. Hexadecimal character codes are simply the hexadecimal number to letter representation for the ASCII character set. To a computer, he…

?????????????????

      No Comments on ?????????????????

寄稿: Avhdoot Patil

フィッシング詐欺の世界では最近も変わらず、サッカーが大人気のようです。2012 年にも、サッカーを利用したさまざまなフィッシング攻撃が確認されましたが、フィッシング詐欺師は早くも 2014 年の FIFA ワールドカップに熱い視線を注ぎ、有名選手やサッカークラブを狙っています。リオネル・メッシ選手のファンを狙った詐欺や、FC バルセロナを利用した詐欺は、そういったフィッシングの一例です。たくさんのファンが付いている有名選手を利用すれば、標的も膨大な数にのぼり、結果的に個人情報を収集できるチャンスも大きくなることを詐欺師は知っています。2013 年 4 月にもこの傾向は続き、同じようなフィッシング詐欺の手口が横行しています。今回のフィッシングサイトは、フランスにある無料の Web ホスティングサイトを利用していました。

このフィッシングサイトでは Facebook のログイン情報を入力するよう要求します。ページにはリオネル・メッシ選手、FC バルセロナ、あるいはクリスティアーノ・ロナウド選手が目立つようにデザインされています。フィッシングページには彼らの画像が掲載され、いずれかの正規の Facebook ページであるかのような印象を与えます。なかには、「first social networking site in the world(世界で最初のソーシャルネットワークサイト)」というタイトルの偽サイトまでありました。ユーザーは、Facebook ページにアクセスするために Facebook のログイン情報を入力するよう求められます。ログイン情報を入力すると、ログインが有効であると思い込ませるようにリオネル・メッシ選手、FC バルセロナ、またはクリスティアーノ・ロナウド選手の正規のコミュニティページにリダイレクトされます。この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。
 

Fraudsters Repeatedly 1.jpeg

図 1. リオネル・メッシ選手の画像が掲載された偽の Facebook ページ
 

Fraudsters Repeatedly 2.jpeg

図 2. FC バルセロナの画像が掲載された偽の Facebook ページ
 

Fraudsters Repeatedly 3.jpeg

図 3. クリスティアーノ・ロナウド選手の画像が掲載された偽の Facebook ページ
 

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップ画面に個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
  • 偽の Web サイトや電子メールを見かけたら報告する(Facebook の場合、フィッシング報告の送信先は phish@fb.com)。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

URL ? .pw ??????????????

      No Comments on URL ? .pw ??????????????

シマンテックは、URL のトップレベルドメイン(TLD)に .pw が含まれるスパムメッセージの増加を確認しています。元々はパラオを表す国別コードトップレベルドメインでしたが、現在は Directi 社を通じて、「Professional Web」を意味するドメインとして誰でも利用できます。
 

pw tld blog 1.png

図 1. TLD が .pw のスパムメッセージが急増
 

まず過去 90 日間の状況を見てみると、.pw は TLD 別の分布リストで 16 位でした。
 

pw tld blog 2_0.png

図 2. 過去 90 日間の TLD 別の分布リスト
 

ところが、直近の 7 日間を見ると、.pw を含む URL が 4 位に急上昇しています。
 

pw tld blog 3.png

図 3. 過去 7 日間の TLD 別の分布リスト
 

Global Intelligence Network で見つかったメッセージを調べたところ、URL に .pw を含むスパムメッセージの大多数は一撃離脱タイプのスパム(「かんじきスパム」とも呼ばれます)であることが判明しました。

.pw を含む URL スパムについて、過去 2 日間の上位 10 件の件名は以下のとおりです。

  • 件名: How to sell your Timeshare(タイムシェアを売る方法)
  • 件名: Reusable K Cup for Keurig or single-brew coffee maker(キューリグのシングルカップコーヒーメーカー用、再利用可能な K-Cup)
  • 件名: Reusable single-brew coffee cup you can fill with your coffee blend.(再利用可能なシングルブリューコーヒーカップで、自分だけのブレンドを)
  • 件名: Are your home possessions covered in case of a  catastrophe?(大災害のそのとき、あなたの家の保障は大丈夫?)
  • 件名: Elmo’s Learning Adventure Gift Package(エルモの学習アドベンチャーギフトパック)
  • 件名: Make Learning Fun – With Elmo & the Sesame Street Gang!(お勉強が楽しくなる – エルモとセサミストリートの仲間たちが一緒!)
  • 件名: Are your appliances and home systems covered?(電化製品やホームシステムは保障されていますか?)
  • 件名: Refinance Today, Save Tomorrow(今すぐ借り換え、明日のために)
  • 件名: Nothing is more EFFECTIVE for High Blood Pressure(高血圧に最高の効果)
  • 件名: Mortgage Rates(住宅ローン金利)

pw tld blog 4.png

図 4. .pw を含むスパムメッセージの例
 

シマンテックでは、引き続きこの傾向を監視し、こういった攻撃を絞り込むためのフィルタの作成を続ける予定です。また、企業や個人ユーザーの皆さまは、シマンテックインテリジェンスレポートに掲載されている基本的なセキュリティ対策(ベストプラクティス)を実施するようお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。