Tag Archives: Symantec Protection Suites (SPS)

Spammers leverage Binary Options trading hype

      No Comments on Spammers leverage Binary Options trading hype

The latest trend in Russian language spam shows that spammers have started promoting MMF (Make Money Fast) schemes where money can easily be made with the use of Binary Options trading.

The sample observed by Symantec has the usual, spam traits including a “catchy” subject which highlights a large sum of money someone is making every month, to grab the attention of spam recipient.

The spam is sent from mail.ru, the largest free email service in Russia, with the account name stating the age of the person linking it to the subject line. The header is as followed when translated into English: 

Subject: $3700 a month – this retiree making more than you?
From: pensioner.vladimir@mail.ru

This is quite a good trick especially before the festive season when many people are stretched with finances.

figure.jpg

Figure. A sample of spam email which highlights a pensioner making a lot of money

The body of the message advertises Samara region pensioner’s high income made with the help of Binary Code, and the user is then asked to click on hyperlink to get more information. The hyperlink is in fact a hijacked domain, registered in 2008 which belongs to web design company maxuz.com. It is mainly used for redirection to another domain.

The other domain named binarytraders.ru is registered more recently in August 2013 and is likely to have been created specifically for this kind of spam. The domain’s main page has a list of advantages on why one should be involved in Binary Code trading along with a video with full instructions. It also adds that Binary Options is currently the biggest money making tool available on the internet.

Symantec has blocked this spam, but we wish to remind users to be more alert this Christmas season and beware of quick money schemes.

????????????????????????????

      No Comments on ????????????????????????????

ワードサラダは、ベイジアンスパムフィルタを回避するためにスパマーが考案した手法です。スパマーの教科書に載るような古典的な手口ですが、この戦術も最先端のスパム対策フィルタリング技術によって、効果が激減しています。

ベイジアンポイズニングの一種であるワードサラダは、まったく無関係な単語が並んだ文字列です。ごく正常で、一般の文章でも見かけるような単語だけが使われているので、ベイジアンフィルタからすれば、ワードサラダを用いた電子メールには、正常なデータが大量にあるにすぎません。ワードサラダがよく使われるのは HTML 形式です。無意味なタグで URL が分断されているため、スパムと思しき URL をアナライザで追跡するのが困難になります。ワードサラダでは、最新ニュースや間近に迫ったイベントなど最新のキーワードを追加するのが最近の傾向です。

映画『ワイルド・スピード』シリーズへの出演で知られるポール・ウォーカーさんの逝去も、スパマーが悪用している最近の一例です。ポール・ウォーカーさんの悲報の数時間後には、「PAUL WALKER」という名前をワードサラダに使った「かんじきスパム」、つまり一撃離脱タイプのスパムが確認されています。ファンがやきもきしながら検死報告を待っていたこともあって、彼の名前は検索キーワードとしても上位を占めています。当初は、命を取り留めたという誤報も流れたほどでした。

figure1_3.png

図 1. ワードサラダで「PAUL WALKER」というキーワードを使った電子メールの本文

該当するスパムは、このワードサラダ部分を除けば、ポール・ウォーカーさんに関するニュースとはまったく無関係です。プレビューされるのは、テレビや電話、インターネットの広告スパムであり、件名は以下のとおりです。

件名: Cheap Cable-TV, Internet & Phone – Free Equipment, Premium Channels & Install(ケーブルテレビ、インターネット、電話を格安で – 機材も設置も有料チャンネルも今なら無料)

差出人: ~CABLETVSpecialS* <[name]@[domain].com>(~CABLETVSpecialS* <[名前]@[ドメイン].com>)

figure2_1.png

図 2. スパムのプレビュー

ポール・ウォーカーさんを悼む一方で、これもスパマーがスパムを拡散するためにはどんな手段もいとわないという格好の例であることを忘れないようにしてください。

ポール・ウォーカーさんに謹んで哀悼の意を表します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

??????????????????

      No Comments on ??????????????????

クリスマスシーズンは、いろいろなものが緩みがちな季節です。それが「なぜ」かは明白ですし、「どこ」かといえば財布のひもに決まっています。

笑いごとではなく、計画を立てて支出を見直しましょう。手持ちの資金に限りがあることは自分が一番よくわかっていますが、あなたの次にその価値をわかっているのは、あなたのことをいろいろと詮索している何者かです。その手口は驚くほど簡単です。ちょっとした欲や、ほんの少しの不安、わずかばかりの緊急性を煽り立てるだけで、固い決心などすぐに吹き飛んでしまいます。うかうかと騙されてしまった直後に後悔しても後の祭りです。クリスマスに向けて一所懸命に貯めていた大切なお金を一瞬にして盗み取られてしまいます。ここまでの話が遠回しに思えてピンとこなかった場合でも、次のようなフィッシングのサンプルを少し解析してみればよくわかるでしょう。

フィッシングメールのヘッダーは以下のとおりです。

件名: [Brand name] is giving you a chance to shop for free!([ブランド名] で無料のお買い物ができるチャンス!)
差出人: “[Brand name] Card” [name]@[domain].com(”[ブランド名] カード” [名前]@[ドメイン].com)

figure1_1.png
図 1. クリスマスを狙うフィッシング攻撃に使われているスパムメール

この電子メールは、有名な金融機関から送られてきたように見え、クリスマス向けに「無料クーポン券」を進呈すると謳っています。また、クーポン券を受け取るためと称して「Kindly Click here now(ここをクリックしてください)」と書かれたリンクも含まれており、2013 年 12 月 31 日までの期間限定だと書かれています。

このクーポン券はユーザーが確認した後に送られてくるという点に特に注意してください。つまり、このクーポン券を受け取るには、まずクリックする必要があるということです。ためらわずにクリックしてしまうことは簡単ですが、まず用心しなければなりません。クリスマスともなれば、至るところ詐欺のワナだらけです。

金銭を伴う取引には十分に注意し、不審な点がないかどうか確認したうえで、確実に安全だとわからない限り、電子メールに記載されたリンクはクリックしないでください。騙されないように、電子メール中のリンクが本当に記載どおりの金融機関のものであることを確かめる必要があります。パスワードは定期的に変更し、予測のできない強力なものを使用してください。また、パスワードを他人に知られないようにしてください。

こうした宣伝文句は魅力的ですが、結局は金銭的な被害を受けることになるだけです。後からいくら嘆いても、失ったものを取り戻すことはできません。シマンテックは、オンラインの不正行為やフィッシング攻撃からユーザーを保護するために全力を尽くしますが、詐欺などの犯罪行為を防ぐために基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

安全で楽しいクリスマスをお過ごしください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers pay tribute to Paul Walker using ‘Word Salad’

Word Salad, a workaround method invented by spammers to counter Bayesian spam filtering, is an old trick in the spammer’s manual, but cutting edge anti-spam filtering technology has made this ploy blunt.

As a form of Bayesian poisoning, Word Salad is an incongruous string of words. It uses words that are very legitimate and can be seen in any form of legit prose. From the perspective of Bayesian filtering, there is a large volume of legit data in emails which employs Word Salad. The word salad are often seen in the form of HTML, where nonsensical tags are used to break  URLs up so analysers will have a hard time tracking down the spammy URL. The latest trend in word salad is to add the most current keywords, like the hottest news or an upcoming event.

The demise of Paul Walker, the ‘Fast and Furious’ franchise star, in a fiery car accident on Saturday, is the latest example exploited by spammers. Within hours of this breaking news, Symantec observed snowshoe spam or hit-and-run attacks, using “PAUL WALKER” in Word Salad.  This topic is a highly searched topic at the moment, as his fans anxiously wait for his autopsy report. Earlier on, there was also fake news circulating claiming that Paul Walker has survived the crash.

figure1_3.png

Figure 1: An email body with the keyword “PAUL WALKER” using word salad.

The spam in discussion had no relevant ties to any news on Paul Walker, except for the Word Salad. The preview is that of a TV/Phone/Internet promo spam which has the headers below:

Subject: Cheap Cable-TV, Internet & Phone – Free Equipment, Premium Channels & Install

­­­From: ~CABLETVSpecialS* <[name]@[domain].com>

figure2_1.png

Figure 2. A preview of the spam

As we remember Paul Walker, we should also be reminded this is another example of how spammers don’t hesitate to manipulate various incidents in their bid to promote spam.

RIP Paul Walker.

Look Before You Get Phished This Christmas

      No Comments on Look Before You Get Phished This Christmas

The Christmas season is a time to loosen up a few strings.  The ‘how’ is obvious, and the ‘where’ is situated in your pocket.

Now that’s no joke. You draw your plans and fix your expenditure. After all, you know the frontiers of your funds. But, the one who values it the most after you is the one who pries on you! It’s amazing to see how easily they do it. All it takes is a little bit of greed, a little bit of fear and a little bit of urgency and you lose your resolutions.  It’s only moments after you have allowed yourself to be cheated that you feel the remorse. After all, you have struggled for months to build your bank account balance to spend for Christmas only to have it burgled in an instance. If this detour does not bring you goosebumps, a little analysis on one such phishing sample should do the needful.

The header of the phishing email reads:

Subject: [Brand name] is giving you a chance to shop for free!
From: “[Brand name] Card” [name]@[domain].com

figure1_1.png
Figure 1. A spam email about a Christmas Phishing attack

The mail seems to come from a reputed financial institution, allegedly doling out ‘free shopping vouchers’ for Christmas. The mail also adds a hyperlink, stating ‘Kindly Click here now’ for users to qualify for a shopping voucher, and informing them the offer is valid till 31st December, 2013.

The most interesting part is that the voucher will be sent to users after they validate the voucher. It means, users must click first to be eligible! Now, that would not require second thoughts but be wary before you do it. There are many fraudulent tricks doing the rounds this Christmas.

Be aware when dealing with every financial transaction, check for discrepancies, and be absolutely certain before you click any link mailed to you. Verify that the hyperlink embedded in the email truly belongs to the financial institution to make sure you are not being taken for a ride. Don’t forget to regularly change your password and keep them secret, strong and unpredictable.

Such offers seem enticing but can wield a scattering blow to your tote and no amount of lamenting thereafter will bring back your possession. While we make every effort to protect you from online illegal activities and phishing attacks, we encourage you to follow best security practices to avoid fraudulent misdemeanors.

Symantec wishes you a safe and merry Christmas.

???????????????????????????

      No Comments on ???????????????????????????

Fake AV 1 edit.png

寄稿: Joseph Graziano

ソーシャルエンジニアリングスパムの新たな手口として、ユーザーを欺いてコンピュータ上でマルウェアを実行させようとする巧妙な手法が出回っています。今回マルウェア作成者が使っているのは、ウイルス対策ソフトウェア企業からの電子メールに偽装する手口です。エンドユーザー各自で重要なシステム更新をインストールする必要があると説明したうえで、ウイルス対策ソフトウェアの修正パッチを装ったファイルが添付されています。この電子メールは、Cryptolocker Trojan のように最近メディアを賑わせた新しい脅威を特に想定して、検出定義がまだ用意されていないかもしれないというユーザーの不安につけ込みます。この手のソーシャルエンジニアリングは、ユーザーを誘導して添付ファイルを開かせ、実際には何がインストールされるのかを深く考えないまま修正パッチと称するマルウェアをインストールさせようとするのが特徴です。

シマンテックが確認した電子メールの件名は多岐にわたりますが、なかには著名なセキュリティ企業の名前も使われています。

  • AntiVir Desktop: Important System Update – requires immediate action(AntiVir Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Avast Antivirus: Important System Update – requires immediate action(Avast Antivirus: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • AVG Anti-Virus Free Edition: Important System Update – requires immediate action(AVG Anti-Virus Free Edition: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Avira Desktop: Important System Update – requires immediate action(Avira Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
  • Baidu Antivirus: Important System Update – requires immediate action(Baidu Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Cloud Antivirus Firewall: Important System Update – requires immediate action(Cloud Antivirus Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • ESET NOD32 Antivirus: Important System Update – requires immediate action(ESET NOD32 Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Kaspersky Anti-Virus: Important System Update – requires immediate action(Kaspersky Anti-Virus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • McAfee Personal Firewall: Important System Update – requires immediate action(McAfee Personal Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton AntiVirus: Important System Update – requires immediate action(ノートン アンチウイルス: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton Internet Security: Important System Update – requires immediate action(ノートン インターネットセキュリティ: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Norton 360: Important System Update – requires immediate action(ノートン 360: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Symantec Endpoint Protection: Important System Update – requires immediate action(Symantec Endpoint Protection: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
  • Trend Micro Titanium Internet Security: Important System Update – requires immediate action(Trend Micro Titanium Internet Security: 重要なシステム更新のお知らせ – 緊急に対応が必要です)

件名は異なっていても、添付された zip ファイルに悪質な実行可能ファイルが含まれている点は変わりません。

マルウェアが実行されると、networksecurityx.hopto.org に接続して別のファイルがダウンロードされます。このマルウェアは、ozybe.exe というプロセスを使ってタスクを実行します。

 

保護対策と基本的なセキュリティ対策(ベストプラクティス)

これらの電子メールや類似の電子メールは、Symantec Email Security.cloud の Skeptic スキャナによって、エンドユーザーに届く前に遮断されます。また、シマンテックは、この攻撃に関連するファイルを以下の定義名で検出します。

ソーシャルエンジニアリングスパムによる攻撃の被害者にならないように、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。

  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 知らない相手から送信された電子メールの添付ファイルは開かない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

???????????????????????

      No Comments on ???????????????????????

寄稿: Vivek Krishnamurthi

米国では、今年のホリデーシーズンは 11 月 28 日の感謝祭に始まり、その翌日 11 月 29 日がブラックフライデーということになります。待ちに待ったクリスマス商戦が始まる日でもあり、人々はこぞって街に繰り出し、家族や友人と連れだってショッピングを楽しみます。ショッピングの熱気をさらに煽り立てるのが、オンラインサイトや小売店舗の割引セールや目玉商品です。

オンラインショッピングが日に日に盛んになるにつれて、スパマーは買い物客を狙ってホリデーシーズンを悪用しようとするでしょう。偽の広告メッセージや偽のお買い得情報を流し、その詐欺に騙される被害者を待つのがスパマーの常套手段です。シマンテックは、ホリデーシーズンの注意点をユーザーに警告するために、そうしたメッセージの兆候について警戒を続けています。

今年のホリデーシーズン初めに確認された代表的なスパムの手口を以下に紹介します。

前代未聞の割引商品
信じられないような割引価格でユーザーの関心を引こうとするほか、売れ筋商品に関する最新情報が送られてくる場合もあります。これに引っかかてしまうのは、スパマーの手口をよく知らないユーザーがほとんどです。目を引くプレビューには偽の Web サイトへのリンクがあり、クリックすると、まったく望みもしないページにリダイレクトされます。

  figure1_2.png
図 1. ブラックフライデーに関連した商品広告スパム

figure2_0.png
図 2. ブラックフライデーと感謝祭に関連した割引セールを謳うスパム

ショッピングクーポンを約束するアンケートスパム
アンケートスパムも、スパマーがユーザーを狙うときの常套手段です。アンケートスパムは、クーポンや割引券を進呈すると称した手っ取り早い儲け話でユーザーを誘導します。スパムのリンクをクリックすると偽のアンケートページに進み、巧妙に偽装された質問事項に回答することで個人情報を渡してしまうことになります。

figure3_0.png
図 3. 感謝祭とブラックフライデーに関連した偽アンケート

高級腕時計の模造品
長年夢見てきた高級腕時計に手が届かない、そんな人の手元にこのスパムが届きます。スパマーは、本物の何分の一かの値段で手に入る高級腕時計の完全な模造品を売り込んできます。こういった電子メールから偽サイトに誘導され、そこで代金を支払ったとしても、実際には何も届きません。

 

figure4.png
図 4. ブラックフライデーに関連した模造腕時計のスパム

感謝祭間近の週末に確認されたスパムヘッダーのパターン
メッセージに表示されるヘッダーでは、魅力的な宣伝文句のキーワードから、単純なランダム名までさまざまなパターンが確認されています。

  • 差出人: “Thanksgiving Flowers”(感謝祭に花束を)<Thanksgiving.Flowers@[削除済み]>
  • 差出人: “Black Friday Digital Camera”(ブラックフライデーにデジタルカメラを)<BlackFridayDigitalCamera@[削除済み]>
  • 差出人: “Clearance | BestWay Time”(在庫一掃、最高の一日に)<keepcommen.jc@[削除済み]>

件名も、電子メールの本文まで読ませるように周到に考えられた内容ばかりです。

  • 件名: Find Black Friday Deals at [REMOVED](ブラックフライデーのお買い得品は [削除済み] へ)
  • 件名: Ahead of Black-Friday: [REMOVED] rolls out deals November 11th(ブラックフライデーより一足先に。11 月 11 日、[削除済み] が大特価)
  • 件名: iPad Air Black Friday prices posted (90 percent savings)(iPad Air が早くもブラックフライデー特価、90% オフ)
  • 件名: Black Friday Starts Today with [REMOVED]!([削除済み] は今日からブラックフライデー!)
  • 件名: Make Thanksgiving extraordinary with fall flowers for $19.99!(特別な感謝祭に秋の花束を。19.99 ドルより!)
  • 件名: Wow! Thanksgiving bouquets, just $19.99.(感謝祭のブーケが今なら 19.99 ドル)
  • 件名: Look 23lbs thinner by thanksgiving(感謝祭までに 10 キロ減量)
  • 件名: Receive increased spending limits on your card this Thanksgiving(今年の感謝祭はクレジットカードの限度額を増額)

迷惑メールや心当たりのない電子メールを受信したときには、くれぐれもご注意ください。見せかけだけの広告、目を見張るような画面、信じられないほどの大特価は、そのどれもがスパマーの手口にすぎません。本当とは思えないほどうまい話は、最初から疑ってかかるべきです。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、あらゆる攻撃に対して厳重な監視を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers Aim to Ruin Holiday Fete

      No Comments on Spammers Aim to Ruin Holiday Fete

Contributor: Vivek Krishnamurthi

The holiday season starts in the United States on Thanksgiving on November 28 preceding Black Friday, which occurs on November 29. This also marks the beginning of the much awaited shopping season when people take to the streets to celebrate the shopping furor with their family and friends. The shopping buzz is fuelled by discount sales and promotional offers by online sites and retailer outlets.

With online commerce growing by the day, spammers may take advantage of the holiday season to target shoppers. The spammers usually send out fake promotional messages and bogus deals and lie in wait for any victims who are tricked by these scams. Symantec has been on the lookout for signs of such messages to warn the public on what to avoid this holiday season.

We found the most popular spamming techniques, which topped our chart early this holiday season 

Products offered at discounts never seen before
Spammers try to catch attention by offering crazy discounts or just sending out news of a sale on the hottest brands. Victims are usually those who are ill-informed about the spammers’ tactics. Behind the catchy mail preview are links to fake websites that redirect users to Web pages that they never wanted to visit.

  figure1_2.png
Figure 1. Product spam related to Black Friday

figure2_0.png
Figure 2. Spam announcing a discount sale related to Black Friday and Thanksgiving

Survey spam promising shopping vouchers
Survey spam is another trick that the spammers employ to target victims. Survey invites claim to offer quick money, usually in the form of vouchers or discount cards. The links in this spam may lead users to fake surveys, which makes users reveal private information as answers to cleverly disguised questions.

figure3_0.png
Figure 3. Fake Survey related to Thanksgiving and Black Friday

Replica spam for watches
If you can’t afford that new watch you’ve been dreaming of for all these years, here is the spam for you. Spammers claim to offer a perfect replica iof a watch which is available at a fraction of the price. These messages lead to fake sites that are ready to take users’ money in return for…. nothing.

 

figure4.png
Figure 4. Replica watch spam related to Black Friday

Header patterns observed by Symantec in Thanksgiving weekend spam
The headers displayed in the messages could include anything ranging from catchy keywords about the sale to something as simple as random names.

  • From: “Thanksgiving Flowers” <Thanksgiving.Flowers@[REMOVED]>
  • From: “Black Friday Digital Camera” <BlackFridayDigitalCamera@[REMOVED]>
  • From: “Clearance | BestWay Time” <keepcommen.jc@[REMOVED]>

Subject lines are usually very cleverly crafted to draw attention to the mail. 

  • Subject: Find Black Friday Deals at [REMOVED]
  • Subject: Ahead of Black-Friday: [REMOVED] rolls out deals November 11th         
  • Subject: iPad Air Black Friday prices posted (90 percent savings)   
  • Subject: Black Friday Starts Today with [REMOVED]!
  • Subject: Make Thanksgiving extraordinary with fall flowers for $19.99!
  • Subject: Wow! Thanksgiving bouquets, just $19.99.
  • Subject: Look 23lbs thinner by thanksgiving
  • Subject: Receive increased spending limits on your card this Thanksgiving

Symantec advises our readers to use caution when opening unsolicited mails. False promises, blinding displays and unbelievable discounts are all part of spammer’s game. Anything that sounds too good to be true should be treated with skepticism. We are closely monitoring all attacks to ensure that readers are kept up to date with information on the latest threats. 

?? 30 ????????????? DHA ???????????

      No Comments on ?? 30 ????????????? DHA ???????????

台風 30 号(ハイエン)による最大の被災地となっているタクロバンが現在、スパマーによる大規模なディレクトリハーベスト攻撃(DHA)の標的となっています。

DHA 攻撃は、標的となった電子メールサーバーに関連する電子メールディレクトリや電子メールの有効性を確認するために仕掛けられます。その目的は、情報を収集してデータベースを整備したうえで、特定のサイトに対する大規模なスパム攻撃の基盤を準備することです。拒否された電子メールは送信されずに配信不能レポート(NDR)が返ってくるため、それ以外が有効なアドレスであると特定され、たちまち大量のスパムやフィッシング、マルウェアの添付された電子メールによる攻撃の標的となります。

この攻撃を仕掛けているスパムは、大手インターネットサイトやサービスプロバイダから著名な報道機関や通信社を装って送られていますが、その意図は、有効な電子メールアドレスを収集することにあります。

電子メールの作りはごく単純です。件名と本文の内容は、有名ニュースサイトで 2013 年 11 月 14 日前後に公開されたニュース記事からの引用です。差出人と件名には、スパムフィルタによる検出を避けるために末尾にランダムな数字が追加されています。

件名: Typhoon: After battle to survive, the struggle to live 26488(台風災害: 生き残った人々の被災生活続く 26488)
差出人: “Typhoon: After battle to survive, the struggle to live 26488″(「台風: 台風災害: 生き残った人々の被災生活続く 26488」)<電子メールアドレス>

Figure1_4.png

図 1. DHA 攻撃によって送信された、台風 30 号に関するスパムメール

ディレクトリハーベスト攻撃認識機能を設定して Web サイト環境を保護し、攻撃を撃退するためにスパムフィルタのアルゴリズムを更新するようにしてください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

????????????????????????????????

      No Comments on ????????????????????????????????

寄稿: Avdhoot Patil

インターネットは、至るところにセキュリティ上の脅威が潜む危険な場所でもありますが、脅威が複合するとその危険性はさらに高くなります。最近のフィッシングはサイバー犯罪において重要な役割を担っており、フィッシング詐欺師も最近、他のセキュリティ上の脅威に対して関心を強めています。今年は、たとえばマルウェアやスパムといった脅威とフィッシングとの融合が確認されています。先日、偽アプリでマルウェアが使われていたのも、その一例です。

今月に入ってからも再び、Facebook に偽装したフィッシングサイトでマルウェアが使われました。このフィッシングサイトは、Android と iPhone のユーザーを誘導して偽アプリをインストールさせようとします。サイトのホストサーバーはフランスのパリに置かれ、ページはフランス語で書かれていました。

フィッシングサイトにはエサが付きものですが、毎度お決まりのエサでユーザーが見慣れてしまわないように、フィッシング詐欺師は次々と新たな手口を考え出してきます。今回のエサは、パスワードを入力せずに iPhone や Android から Facebook にログインできると謳う偽アプリの広告です。

figure1_0.png

図 1. 偽の Facebook アプリを宣伝するフィッシングサイト

広告の売り文句によれば、このアプリは 24 時間だけ無料で試用できます。広告の下にあるボタンは、翻訳すると「続行」という意味で、このボタンをクリックすると手順の書かれたページに移動します。

figure2_0.png

図 2. 偽アプリを利用するための手順説明

手順は以下のとおりです。

  1. ユーザーは、フォームに個人情報を入力する必要があります。
  2. iPhone アプリまたは Android アプリを選択し、アプリをダウンロードします。
  3. アプリを試用できるのは、初回のインストール時だけです。
  4. 試用期間の 24 時間が過ぎると、アプリは自動的にロックされます。
  5. 試用期間が過ぎると、支払いオプションを記載した電子メールが届きます。ユーザーは、アプリを使い続けることも、アンインストールすることもできます。

figure3_0.png

図 3. 個人情報の入力フォーム

この手順を読んで続行ボタンをクリックするとフィッシングページにリダイレクトされ、名前、電子メールアドレス、パスワードの入力を求められます。フィッシングサイトの説明によれば、このアプリをインストールすることで、ユーザーはこのアプリの使用を法的に同意したことになります。

このフィッシングサイトでは、個人情報を求める理由が以下のように説明されています。

  1. 24 時間の試用期間が経過してから、アクティブ化コードを受け取るために電子メールアドレスが必要です。
  2. iPhone または Android アプリにアクセスする際にはパスワードが必要です。

figure4_0.png

図 4. モバイルアプリのインストーラに偽装した悪質なダウンロード

フィッシングサイトで次のページに進むと、アプリのダウンロードリンクとして Android と iPhone のロゴが表示されます。これらのリンクをクリックすると、iphone.zip.exe または android.phone.exe というファイルのダウンロードを確認するメッセージが表示されます。実際には、これは Android アプリでも iPhone アプリでもなく、Windows 用のマルウェアです(シマンテックはこれを Backdoor.Breut として検出します)。Android や iPhone のロゴを使っているのは、インストールを誘うためにすぎません。

今回のマルウェアを解析した結果、以下のような事実を確認しました。

  1. このマルウェアは Darkcomet RAT と同一である。
  2. ネットワーク接続の機能はない。
  3. コマンド & コントロール(C&C)サーバーは 127.0.0.1:1604(ローカルループバックアドレス)と設定されている。
  4. このマルウェアは外部サーバーには接続しない。

この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • アカウントにログインするときに、アドレスバーの URL を確かめ、間違いなく目的の Web サイトのアドレスであることを確認する。
  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップウィンドウに個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク(画像やアイコン)、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。