Mobile it! 広告及びスポンサー募集中: 詳しくは banner AT rep2.rbl.jp にお問い合わせください
Prev 2006.3 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Today: Yesterday: Total:
2006年3月のエントリー 30 件中 1-5 件を ボックス表示リスト表示
次の 5 件 »

March 31, 2006

● ebay.comの偽サイト ttp://81.168.89.239/secure/index.html
詐欺メールの同じ本文に以下のURLもありましたがコンテンツが最初から無い可能性もあるので匿名にします。
ttp://dns1.XXXXX_XXXX.co.jp/~nakano/redirect.html?ws/eBayISAPI.dll/?ResolveDispute&DisputeId=61693515?ViewItem&item=7165006036&ssPageName=STRK:MEMM:IID?SignIn&pUserId=&co_partnerId=2&siteid=0&pageType=-1&pa1=&i1=-1&UsingSSL=1&bshowgif=0&favoritenav=&ru=http://www.ebay.com&pp=&errmsg=8

アドレス81.168.89.239はイギリスで逆引きは81-168-89-239.dsl.eclipse.net.ukです。

トップページを見ると会社のホームページなのでクラックされています。

サーバーの応答はApache/2.0.46 (Red Hat)です。ebay.comに通報しました。

ebay

でたらめのIDでログインできます。

ebay

これでオークションは取り消されましたというメッセージ。このあとどれをクリックしても本物のサイトに飛ばされます。

● paypal.comの偽サイト ttp://lipose.com/paypal.com/us/cgi-bin/index.php
lipose.comのアドレスは218.234.22.76で韓国です。逆引きはありませんがSMTPの応答では8.pooding.comと返ります。

トップページは別のサイトが見えるのでクラックされているようです。

サーバーの応答はApacheとだけわかります。paypal.comに通報しました。

paypal.

デタラメのIDでログインできます。

paypal

認証しているふりの画面です。

paypal

カード番号詐取画面です。

● bankofamerica.comの偽サイト ttp://clubdouble-twice.be/bankofamerica/Bank-of-America-Online-Banking/bankofamerica/bankofamerica/bankofamerica/onlineid.signin/bankofamerica/online_bofa_banking/e-online-banking/
ClamAVでHTML.Phishing.Auction-33と検知されています。

clubdouble-twice.beのアドレスは213.189.5.16でオランダです。逆引きはmail.easybytes.comです。

トップページは別のサイトになっているためクラックされていると判断できます。

サーバーの応答はApache/1.3.31 (Unix) mod_ssl/2.8.19 OpenSSL/0.9.7c-p1 PHP/4.3.9 mod_perl
/1.27 FrontPage/5.0.2.2510です。

cyota.comに通報しました。

bankofamerica

bankofamerica


● chase.comの偽サイト ttp://211.167.84.197/.chase/login.html
ClamAVでHTML.Phishing.Pay-16と検知されています。

アドレス211.167.84.197は中国です。逆引きはありません。

トップページは情報サイトらしいのですが未完成です。ディレクトリがドットから始まるのでクラックされているものと思われます。

サーバーの応答はApache/2.0.52 (Red Hat)です。

chase

でたらめのIDでログインできます。

chase

カード番号詐取画面です。

● microsoft.comの偽サイト(ガキのいたずら) ttp://thesource.ofallevil.com/
thesource.ofallevil.com のアドレスをwww.microsoft.comと同じものにしたいたずらでしょう。

これとは別に ttp://www.ofallevil.com/ というFedoraCoreインストール直後のデフォルト画面が見えるサイトもあります。こちらは69.64.38.157でアメリカです。

ドメインofallevil.comはmicrosoft.comと混同させるようなものでなく、2002年6月5日と古い時期に取得されているので詐欺のつもりは無いようですが時節柄こういうことはしないほうが良いですね。

このようなことを避けるためにはたとえURLが1つのサイトであってもでNameVirtualHostを使ってデフォルトのサーバーと本当に使いたいホスト名のサーバーを分けて定義しておくという方法もあります。レンタルサーバーのIPアドレスを指定してつないだときに「そういうサイトはありません」というメッセージを良く見ますね。あれです。

本件は通報されたものです。google.comでマイクロソフトに関しての情報を検索していたら発見したとのことです。ありがとうございました。

— posted by staff @ 07:40AM | TrackBack (0) |  top↑

March 30, 2006

● chase.comの偽サイト ttp://211.173.213.8/red/chaseonline.chase.com/login/
ClamAVでHTML.Phishing.Bank-391と検知されています。

アドレス211.173.213.8は韓国です。逆引きは無し。トップページはphpinfo()の画面です。こういうのを簡単に見られるようにするのは危ないですね。弱点を知られてしまいます。

サーバーの応答はApache/1.3.28 (Unix) PHP/4.3.3です。

chase

デタラメのIDでログインできます。

chase

口座番号詐取画面です。

● chase.comの偽サイト ttp://61.36.7.250/chase/index.htm
ClamAVでHTML.Phishing.Bank-362と検知されています。コンテンツは既に削除されています。

アドレス61.36.7.250は韓国で逆引きは無し。

現在のサーバーの応答はApache/2.0.40 (Red Hat Linux)です。

● wellsfargo.comの偽サイト ttp://www.teamwellsaccess.com/update-wells-info/
ClamAVでHTML.Phishing.Bank-296と検知されています。

yahoo.comのビジネスサービスを使って犯人自身が立ち上げています。

ドメインteamwellsaccess.comもyahoo.comを経由して取得したものでDNSもyahoo.comが使われています。

ドメインteamwellsaccess.comは3月23日に1年の期限の取得です。

cyota.comに通報しました。

wellsfargo

デタラメのIDでログインできます。

wellsfargo

カード番号詐取画面です。

● paypal.comの偽サイト ttp://p7.hostingprod.com/@cgibiner.com/tmp/index.php
ClamAVでHTML.Phishing.Pay-37と検知されています。

hostingprod.comというのはリダイレクトサービスで、実際には ttp://minunisss.com/tmp/webscr.php?cmd=LogIn に飛ばされます。

minunisss.comはgeocities.yahoo.com上にある有料レンタルサーバーで、犯人が加入しているものと思われます。

paypal.comに通報しました。

paypal

何回かでたらめのIDとパスワードを入れたのですが先に進めません。

paypal

エラー画面です。ログイン情報だけ詐取しているのでしょう。

— posted by staff @ 10:00AM | TrackBack (0) |  top↑

March 29, 2006

● paypal.comの偽サイト ttp://paypal.com.info.comcgi-bin.us/login/update.html?useridoi9diiu7dkkifo55gttf3?
ClamAVでHTML.Phishing.Pay-37と検知されています。

同じ詐欺メールに ttp://www.nohostname.us/cgi_bin/webscr=cmd=_home/ というURLもありますがどちらもアドレスが引けません。

ドメインcomcgi-bin.us:2006年3月27日取得、期限1年
ドメインnohostname.us:2005年9月12日取得、期限1年 です。

● chase.comの偽サイト ttp://210.212.172.244/colappmgr-sk/colportal/prospect.php?_nfpb=change_form
下のnylcv.comと同じ詐欺メールにあったURLです。(1つのメールに偽サイトのURLが2つあります)

アドレス210.212.172.244はインドで逆引きはありません。

トップページにはカレッジのサイトが見えるのでクラックされているものです。

サーバーの応答はApache/1.3.31 (Unix) PHP/4.3.9です。cyota.comに通報しました。

chase

でたらめなIDでログインできます。

chase

カード番号詐取画面です。

本件は通報されたものです。ありがとうございました。

● chase.comの偽サイト ttp://chaseonline.chase.com.portlet.nylcv.com/colappmgr/colportal/prospect.php?_nfpb=change_form
すでにアドレスが引けなくなっているので管理者が気がついてDNSから削除したものと思われます。

本件は通報されたものです。ありがとうございました。

● chase.comの偽サイト ttp://chaseonline.chase.com.webssl.hgm.net/chase/chase.php
ClamAVでHTML.Phishing.Acc-4と検知されています。

chaseonline.chase.com.webssl.hgm.netのアドレスは61.97.32.11で韓国です。逆引きはありません。

ttp://www.hgm.net/ として見るとプロバイダ/回線業者のホームページになります。

クラックされているサーバーにhgm.netのDNSも立ち上がっていればchaseonline.chase.com.webssl.hgm.netというホストを登録できるのですがDNSのアドレスは210.113.160.1と211.36.156.67であってこのサーバーと異なるのでその可能性は低いものと判断できます。

サービスメニューを見るとHostingというのがあるのでサブドメインを使ったレンタルサーバーに犯人自身が加入しているのではないでしょうか。メニューのほとんどが韓国語なので犯人はハングルを読める人物か。それともDNSもクラックされたかのどちらか。

サーバーの応答はApache/1.3.9 (Unix) (ALZZA/Linux) PHP/3.0.12です。めちゃめちゃ古いバージョンです。

cyota.comとhangaram.co.krに通報しました。

chase

デタラメのIDを入れると下の画面になります。

chase

今入れたIDとパスワードがフィールドに入った状態で警告画面が出ます。そのままボタンを押すと下の画面になります。

chase

カード番号詐取画面です。

● chase.comの偽サイト ttp://rrcs-24-213-165-171.nyc.biz.rr.com:81//.profile/index.php?prospect_nfpb=trueportlet_change_1_actionOverrideFchaseonlineFchangeFverifyDetails_windowLabel_portlet_change_pageLabel_page_change
アドレスは24.213.165.171でアメリカです。

ttp://rrcs-24-213-165-171.nyc.biz.rr.com:81/ として見るとApacheインストール時のデフォルト画面になります。

サーバーの応答はApache/2.0.55 (Win32) PHP/4.4.1です。cyota.comに通報しました。

chase

IDと新旧のパスワードを入れるようになっていますが先に進みません。

chase

エラー画面。

● ebay.comの偽サイト ttp://ns1.niteslink.net/web/.../signin.ebay.com/eBayISAPI.dllSignIn/co_partnerId/=2pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitor=/eBayISAPI.dll2SignIn8co_partnerId.php
下のインドにある偽サイトとまったく同じ動きをします。

アドレスは202.143.147.115でタイにあります。逆引きはありません。

サーバーの応答はApache/2.0.40 (Red Hat Linux)です。

画像の説明については下の説明参照のこと。下とまったく同じ画面です。下とともにebay.comに通報しました。

ebay

ebay

ebay

ebay


● ebay.comの偽サイト ttp://219.64.26.33/.../signin.ebay.com/eBayISAPI.dllSignIn/co_partnerId/=2pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitor=/eBayISAPI.dll2SignIn8co_partnerId.php
アドレス219.64.26.33はインドです。逆引きは219.64.26.33.mum1.static.vsnl.net.inです。

メールでオークションについての問い合わせをしてその返事を受けるという詐欺なんですがまわりくどい詐欺であってIDとパスワードを詐取する以外に何かやろうというのでしょうか。

サーバーの応答はApache/2.0.40 (Red Hat Linux)です。

ebay

「オークションで車椅子を売っていませんでしたか?」という質問がhtmlメールで届きます。

ebay

メールのリンクをクリックするとこのログイン画面になります。

ebay

一度失敗画面になりますがまた同じパスワードを入れると今度はログインできます。

ebay

ebay.comのスタッフにメールを書くふりをした画面になります。

ebay

Sendボタンを押すとこのメール送信終了画面となります。

— posted by staff @ 02:20PM | TrackBack (0) |  top↑

March 28, 2006

● chase.comの偽サイト ttp://3575225118/chase/chase.php
ClamAVでHTML.Phishing.Acc-4と検知されています。

普通の表記だと ttp://213.25.155.30/chase/chase.php でポーランドにありますがすでにNot Foundとなり消えています。逆引きはタイムアウトになります。

現在のサーバーの応答はMicrosoft-IIS/5.0です。存在しないファイルをGETするとApache/1.3.33 Server at nora.bestja.net Port 80というメッセージが返ります。

● chase.comの偽サイト ttp://www.coins.com.tw/%20%20/chase/index.html
ClamAVでHTML.Phishing.Pay-88と検知されています。

www.coins.com.twのアドレスは59.124.155.45、逆引きは59-124-155-45.HINET-IP.hinet.netで台湾です。

ttp://www.coins.com.tw/というサーバーがクラックされています、

サーバーの応答はApache/1.3.29 (Unix) mod_ssl/2.8.16 OpenSSL/0.9.7c PHP/4.3.4です。

chase

でたらめのIDでログインできます。

chase

アドレスバーが偽装された大きな窓が開きます。カード番号詐取画面です。

● citibank.comの偽サイト ttp://citibusinessonline.da.us.citibank.com.securitysupport.ru/NN7b2g7NDU0MTQ7bW9udGVZ2U7NzYwMSBwYWludGVkIHRGLRyYWhhbSBHZW9y1cnRsZSBkcml2ZTtkYXl0b247b2g7NDU0MTQ7bW9udGVuZHJlQGhvdG1haWwuY29tOw/citibusinessonline.php?AdditionalInfo='XXX@XX_XX.com
citibusinessonline.phpのアドレスは194.135.103.19でロシア、逆引きはありません。

ttp://www.securitysupport.ru/ のトップページはForbiddenとなる上にsecuritysupport.ruのドメインが3月18日に取得されたばかりでしかも1年の期限であることと考えて犯人自身がsecuritysupport.ruを取得したものと思われます。

サーバーの応答はApache/1.3.34 (Unix) PHP/4.4.2です。cyota.comに通報しました。

citibank

ソフトキーでしかビジネスコードを入れることができません。何を入れても次の画面になるようです。

citibank

もう1つの窓が画面一杯に開いてIDと暗証番号を入れさせられます。Enterボタンを押すとIDと暗証番号がメールで送られるようになっているようです。

— posted by staff @ 03:52PM | TrackBack (0) |  top↑

March 27, 2006

● paypal.comの偽サイト ttp://66.59.31.200/~cpalmi1/bank/security/cgi-bin/webscrcmd_login.php
詐欺メールではwebscrcmd_loginphpとなっていたのですがドットを補足してwebscrcmd_login.phpとしたらコンテンツが見えました。間抜けな詐欺師。

ClamAVでHTML.Phishing.Pay-6と検知されています。

アドレスは66.59.31.200はアメリカで逆引きはありません。

トップページは廃棄予定のドメインを使った出版社のページが見えるのでクラックされているようです。

サーバーの応答はApache/1.3.33 (Unix) PHP/4.4.0 FrontPage/5.0.2.2635です。

paypal

でたらめのIDでログインできます。

paypal

認証しているふりの画面です。

paypal

カード番号詐取画面です。(上部)

paypal

(下部)

● kddi.comの偽サイト ttp://wwwkddi.com/
本件は詐欺メールで知ったのでは無く、ニュースを見て調査したものです。kddi.comではこれに関しての注意が発せられました。

wwwとkddi.comの間にドットが無いwwwkddi.comです。

フレームを切ってあって中身は本物のサイトです。これがhtmlソース

先日発見されたkabu.comと同じアドレス64.202.189.170に存在するのでkabu.comやmatsui.co.jpのときと同じ人物の犯行と思われます。

ドメインwwwkddi.comは2004年1月25日に取得で期限が4年
ドメインwwwkabu.comは2004年1月25日に取得で期限が3年
同じ日に取得されているわけです。

犯行というより面白半分でやっているような感じ。詐欺というよりこのドメインをそれぞれの会社に高くうりつけるつもりなのかもしれません。

ドメインの情報は以下です。匿名で登録しています。
Registrant:
   Domains by Proxy, Inc.
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States

   Registered through: GoDaddy.com
   Domain Name: WWWKDDI.COM
      Created on: 25-Jan-04
      Expires on: 25-Jan-08
      Last Updated on: 26-Mar-06

   Administrative Contact:
      Private, Registration  WWWKDDI.COM@domainsbyproxy.com
      Domains by Proxy, Inc.
      DomainsByProxy.com
      15111 N. Hayden Rd., Ste 160, PMB 353
      Scottsdale, Arizona 85260
      United States
      (480) 624-2599

   Technical Contact:
      Private, Registration  WWWKDDI.COM@domainsbyproxy.com
      Domains by Proxy, Inc.
      DomainsByProxy.com
      15111 N. Hayden Rd., Ste 160, PMB 353
      Scottsdale, Arizona 85260
      United States
      (480) 624-2599

   Domain servers in listed order:
      PARK9.SECURESERVER.NET
      PARK10.SECURESERVER.NET

kddi

フレームが切ってあって中身は本物のサイトが表示されています。実害はありませんがブックマークが行き渡ったころ中身を入れ替えてIDとパスワードを詐取するという方法も考えられるのできわめて問題があると考えていいでしょう。

追記(2006-3-28):
8:19 に調査したところ www.msn.com に飛ばされるようになっています。

● ebay.comの偽サイト ttp://1050513031/styles/ws/ebay/index.html
ClamAVでHTML.Phishing.Auction-102と検知されています。

ソースにaction="mail.php"という記述があるので詐取されたデータはメールを使って送られています。

普通の表記だと ttp://62.157.142.135/styles/ws/ebay/index.html です。

アドレス62.157.142.135はドイツ、逆引きはmail-cosymed.cosymed.deです。トップページを見ると会社らしきサイトなのでクラックされています。

サーバーの応答はApache/1.3.23 (Unix) PHP/4.1.0です。

ebay

入れたIDとパスワードはすぐさまメールで犯人に送られたあと本物のサイトに移動します。

● ebay.comの偽サイト ttp://210.127.244.11/Update/Login/?MfcISAPISession=BXVShqAhQRisNfHAAeMWZlHhlWXS2AlNRqAhQRfhfhgTDrferHCURstpABTsgTDrzeHAfdeMWZlHhlWXhgpferHCUQRfqzeHAfdeMWZlHhlWXhgpAisDAAJbaQqze
アドレス210.127.244.11は韓国で、逆引きはありません。

トップページは家庭用品販売サイトなのでクラックされています。

サーバーの応答はApacheとだけわかります。ebay.comに通報しました。

ebay

でたらめのIDでログインできます。

ebay

カード番号を含む個人方法をごっそり持っていかれます。(上部)

ebay

(下部)


● chase.comの偽サイト ttp://201.9.183.251/icons/Securelogin/update_information/start.htm
アドレス201.9.183.251はブラジルで逆引きは201009183251.user.veloxzone.com.brです。

トップページはFedora Core/Apacheインストール直後の画面です。

サーバーの応答はApache/2.0.54 (Fedora)です。cyota.comに通報しました。

chase

でたらめの数字のIDとパスワードでログインできます。IDのルールをチェックしていてメールアドレスでは警告にダイアログが出ました。

chase

どちらかのアカウントを選択します。選択しないと警告のダイアログが出ます。

chase

カード番号詐取画面です。

● chase.comの偽サイト ttp://216.130.168.61/chase/
ClamAVでHTML.Phishing.Bank-392と検知されています。

アドレス216.130.168.61はアメリカで逆引きはありません。

すでに偽ページは消去されています。トップページは別のサイトが見えるのでクラックされたいたものと思われます。

サーバーの応答はApache/1.3.33 (Unix) PHP/4.4.2 mod_ssl/2.8.22 OpenSSL/0.9.7dです。

● ebay.comの偽サイト ttp://219.87.148.29/.secure/ebay/ws/eBayISAPI.dll.html
ClamAVでHTML.Phishing.Auctionと検知されています。

アドレス219.87.148.29は台湾で逆引きは219-87-148-29.static.tfn.net.twです。

トップページは個人のホームページらしく、ディレクトリがドットから始まることとも考えるとクラックされています。

サーバーの応答はApache/2.0.40 (Red Hat Linux)です。

ebay

デタラメのIDだとログインエラーとなります。裏で認証しているようです。

ebay

エラー画面

— posted by staff @ 07:56AM | TrackBack (0) |  top↑

2006年3月のエントリー 30 件中 1-5 件を ボックス表示リスト表示
次の 5 件 »