Mobile it! 広告及びスポンサー募集中: 詳しくは banner AT rep2.rbl.jp にお問い合わせください
Prev 2006.12 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Today: Yesterday: Total:
2006年12月のエントリー 33 件中 1-5 件を ボックス表示リスト表示
次の 5 件 »

December 31, 2006

本日未明からTrojan.Downloader-390(ClamAVでの名称)というウイルスを含むspamが大量に送られています。このウイルスを使ってリファレンス1 [ゾンビPC詐欺]が立ち上がり、そのサイトを宣伝するspamが多数送られるでしょう。すでに本日時点でも以下のようにいつもより多い新しいアドレスのサイトが発見されています。

● 53.comその他の偽サイト アドレス211.188.12.30(韓国)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.barclays.co.uk.cprocedure.id9436484095.deheofcha.us/go.html
ttp://www.bankofamerica.com.onlinebankingid9564998.suppliess.biz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid3652601.suppliess.biz/session.cgi

● 53.comその他の偽サイト アドレス67.162.72.232(アメリカ)逆引きc-67-162-72-232.hsd1.il.comcast.net
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.bankofamerica.com.onlinebankingid6944102672.deheofcha.us/session.cgi
ttp://www.bankofamerica.com.onlinebankingid9462215.suppliess.biz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid2129323387.suppliess.biz/session.cgi

● 53.comその他の偽サイト アドレス211.189.115.109(韓国)逆引き無し
29日にも発見されたアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.barclays.co.uk.cprocedure.id9436484095.deheofcha.us/go.html
ttp://www.bankofamerica.com.onlinebankingid9564998.suppliess.biz/session.cgi

● 53.comその他の偽サイト アドレス220.149.207.121(韓国)逆引き無し
29日にも発見されたアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.bankofamerica.com.onlinebankingid9462215.suppliess.biz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid6944102672.deheofcha.us/session.cgi

● 53.comその他の偽サイト アドレス59.9.227.220(韓国)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.bankofamerica.com.onlinebankingid0711250318.2yout.info/session.cgi
ttp://www.53.com.businessandcorporate.sanshi.biz/customerdata
ttp://www.bankofamerica.com.onlinebankingid2932297035.deheofcha.us/session.cgi
ttp://www.53.com.businessandcorporate.onlineslive.info/customerdata
ttp://www.bankofamerica.com.onlinebankingid94696349.thetplanet.biz/session.cgi

アドレス引けず
ttp://www.53.com.businessandcorporate./customerdata

● paypal.comの偽サイト ttp://195.128.35.60/www.paypal.com/cgi-bin/webscr_cmd=_login-run1174/
ClamAVでHTML.Phishing.Pay-178と検知されています。トップページはFEDERAL GROUPというサイトになっています。

アドレス195.128.35.60アドレスはトルコ、逆引きはfederalelk.telnet.com.tr、サーバー応答はApache/2.0.50 (Linux/SUSE)

ログイン画面

以下は口座情報詐取画面、下のpaypalと全く同じ、やたら長い画面です


● 53.comその他の偽サイト アドレス200.87.174.82(ボリビア)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.bankofamerica.com.onlinebankingid7431222742.deheofcha.us/session.cgi
ttp://www.bankofamerica.com.onlinebankingid688294302.2yout.info/session.cgi
ttp://www.bankofamerica.com.onlinebankingid2122627.thetplanet.biz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid4386488.supertlive.info/session.cgi
ttp://www.bankofamerica.com.onlinebankingid967288194.nkdsfr.biz/session.cgi
ttp://sparkasse.de.finanzen_kunden_4746031.deheofcha.us/index.htm

● bankofamerica.comの偽サイト ttp://www.lifeinlegacy.com/database/www.bankofamerica.com/sslencrypt218bit/online_banking/
ClamAVでHTML.Phishing.Bank-213と検知されています。

10:00現在サーバーの応答はありません。

www.lifeinlegacy.comのアドレスは203.22.204.89でアメリカ、逆引きはstcroix.globat.com

● paypal.comの偽サイト ttp://212.52.155.66/www.paypal.com/cgi-bin/webscr_cmd=_login-run4928/
ClamAVでHTML.Phishing.Pay-6と検知されています。トップページはWebメールのログイン画面のようです。

アドレス212.52.155.66はアフリカのブルキナファソ(Burkina Faso)、逆引きはdebser.eprocess.bf、サーバー応答は以下
Server: Apache/1.3.33 (Debian GNU/Linux) PHP/4.4.0-0.dotdeb.0 mod_perl/1.29X-Powered-By: PHP/4.4.0-0.dotdeb.0

ログイン画面

以下は口座情報詐取画面、やたら長い画面です

— posted by staff @ 09:21AM | TrackBack (0) |  top↑

December 30, 2006

● paypal.comの偽サイト ttp://3381055364:20/paypal.com/login.html
ClamAVでHTML.Phishing.Bank-573と検知されています。ポート80のトップページは簡単ですがまともそうな内容でCOSTA REALTY Bienes Raicesというタイトルが表示されます。

ttp://3381055364:20/ のわかりやすい表記は ttp://201.134.207.132:20/ でメキシコ、逆引きは customer-201-134-207-132.uninet-ide.com.mx、サーバー応答は Apache/2.0.55 (Win32)、ポート80側の応答は Microsoft-IIS/5.0です。

ログイン画面

認証しているふりの画面

あなたのアカウントは第三者にアクセスされて問題があるので確認しろというメッセージ

口座情報詐取画面(上部)

(下部)

● 53.comその他の偽サイト アドレス211.176.202.19(韓国)逆引き無し
昨日の続き。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.volksbank.de.networld.onlineid65142495.jojova.info/kunde.html
ttp://sparkasse.de.finanzen_kunden_52545958785.sanshi.biz/index.htm
ttp://www.53.com.bankingportal.id427740319.asolta.co.nz/sbcbconfirm
ttp://www.53.com.bankingportal.id43887156969.asolta.co.nz/sbcbconfirm
ttp://www.bankofamerica.com.onlinebankingid7943133508.yonser.co.nz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid057389438.asolta.co.nz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid1191830.jojova.info/session.cgi
ttp://www.53.com.bankingportal.id079629506.ddopd.co.nz/sbcbconfirm
ttp://www.bankofamerica.com.onlinebankingid0252828.sanshi.biz/session.cgi
ttp://www.53.com.bankingportal.id50130056.sanshi.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id03784889155905.asolta.co.nz/sbcbconfirm
ttp://www.bankofamerica.com.onlinebankingid95969379.asolta.co.nz/session.cgi
ttp://www.53.com.bankingportal.id4803466826372.jojova.info/sbcbconfirm
ttp://www.53.com.bankingportal.id3487247.ddopd.co.nz/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid9646484.fuziow.info/kunde.html
ttp://www.bankofamerica.com.onlinebankingid19151547.jojova.info/session.cgi
ttp://www.bankofamerica.com.onlinebankingid4297595.ddopd.co.nz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid771027330.ddopd.co.nz/session.cgi
ttp://www.53.com.businessandcorporate.ddopd.co.nz/customerdata
ttp://www.53.com.bankingportal.id364786022890.asolta.co.nz/sbcbconfirm

アドレス引けず
ttp://www.53.com.bankingportal.id26637726091060.kildop.info/sbcbconfirm
ttp://www.53.com.bankingportal.id410364467737.kildop.info/sbcbconfirm
ttp://www.53.com.bankingportal.id62471249300774.fr1d1n.biz/sbcbconfirm
ttp://www.53.com.businessandcorporate.fr1d1n.biz/customerdata
ttp://www.53.com.bankingportal.id25263249221270.kildop.info/sbcbconfirm
ttp://www.53.com.businessandcorporate./customerdata

● paypal.comの偽サイト ttp://209.43.118.216/www.paypal.com/cgi-bin/webscr_cmd=_login-run4740/
ClamAVでHTML.Phishing.Bank-277と検知されています。

コンテンツは既に消されています。

アドレス209.43.118.216はアメリカ、逆引きはeducatortemplates.com、サーバー応答はApache/2.0.46 (Red Hat)

— posted by staff @ 09:25AM | TrackBack (0) |  top↑

December 29, 2006

● desjardins.comの偽サイト ttp://z113l18.static.ctm.net/acces-d/secure/
ClamAVでHTML.Phishing.Bank-954と検知されています。

コンテンツは削除されているようです。

z113l18.static.ctm.netのアドレスは202.175.113.18でマカウ、サーバー応答はApache/2.0.40 (Red Hat Linux)

● 53.comその他の偽サイト アドレス220.149.207.121(韓国)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.businessandcorporate.fr1d1n.biz/customerdata
ttp://www.53.com.bankingportal.id4223949905.asolta.co.nz/sbcbconfirm

● paypal.comの偽サイト ttp://www.sodotdot.com/www.paypal.com/cgi-bin/webscr_cmd=_login-run4740/
ClamAVでHTML.Phishing.Bank-277と検知されています。トップページはCharter Lane (HK) LTD という企業のサイトです。

www.sodotdot.comのアドレスは202.64.126.194で香港無し、逆引きは、サーバー応答はApache/2.0.40 (Red Hat Linux)

ログイン画面

以下は口座情報詐取画面(分割)



● 53.comその他の偽サイト アドレス 85.196.189.58(ブルガリア)逆引き無し
このアドレスは過去にも発見されています。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.bankingportal.id6999380.eosksaeu.us/sbcbconfirm
ttp://www.53.com.bankingportal.id784844214788.ehhmailt.biz/sbcbconfirm
ttp://www.53.com.businessandcorporate.yonser.co.nz/customerdata
ttp://www.53.com.bankingportal.id12635120062402.ehhmailt.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id705451465087.ehhmailt.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id6450500.ehhmailt.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id7943332675417.asolta.co.nz/sbcbconfirm
ttp://www.53.com.bankingportal.id12409604024.asolta.co.nz/sbcbconfirm
ttp://www.53.com.bankingportal.id784844214788.ehhmailt.biz/sbcbconfirm
ttp://www.53.com.businessandcorporate.yonser.co.nz/customerdata

● paypal.comの偽サイト ttp://ebay.doubleclick.net/clk;13012399;10693575;h?ttp://www.fastestindian.net/tmp/index.php
ClamAVでHTML.Phishing.Pay-178と検知されています。

doubleclick.netのリダイレクタを使って ttp://www.fastestindian.net/tmp/index.php に飛ばされたあと更に ttp://www.ironfistrecordsllc.com/webscr.php?cmd=_login-run に飛ばされます。

fastestindian.netもironfistrecordsllc.comもyahoo.comのビジネスサービスを使っていてアドレスは複数あります。

fastestindian.netのドメインはこの詐欺の為に取得され12月21日の登録、1年の期限です。
トップページはUnder Constructionです。

ironfistrecordsllc.comのドメインもこの詐欺の為に取得され12月29日の登録、1年の期限です。
トップページは詐欺サイトに飛びます。

ログイン画面

口座情報詐取画面(上部)

(下部)
詐取された情報はメールにてjohnwestern2@yahoo.comに送られます

● 53.comその他の偽サイト アドレス211.176.202.19(韓国)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://sparkasse.de.finanzen_kunden_8081390537561.eosksaeu.us/index.htm
ttp://sparkasse.de.finanzen_kunden_7508146096219.ehhmailt.biz/index.htm
ttp://www.53.com.bankingportal.id42880910.eosksaeu.us/sbcbconfirm
ttp://www.53.com.bankingportal.id533167561521.eosksaeu.us/sbcbconfirm
ttp://www.53.com.bankingportal.id23362374786.ehhmailt.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id39338414542.ehhmailt.biz/sbcbconfirm

● 53.comその他の偽サイト アドレス211.189.115.109(韓国)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.bankingportal.id03817101013.yonser.co.nz/sbcbconfirm
ttp://www.53.com.businessandcorporate.enschen.bz/customerdata
ttp://www.bankofamerica.com.onlinebankingid2339243.yonser.co.nz/session.cgi
ttp://www.53.com.bankingportal.id59996122400208.ehhmailt.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id3040157697.amogech.biz/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid4488348.eosksaeu.us/kunde.html
ttp://sparkasse.de.finanzen_kunden_849463326.tizso.sa.com/index.htm
ttp://www.bankofamerica.com.onlinebankingid563008647.ehhmailt.biz/session.cgi
ttp://www.53.com.bankingportal.id55217687519056.yonser.co.nz/sbcbconfirm
ttp://www.53.com.bankingportal.id55217687519056.yonser.co.nz/sbcbconfirm
ttp://www.53.com.bankingportal.id97216844333738.yonser.co.nz/sbcbconfirm
ttp://www.53.com.bankingportal.id872031514611.eosksaeu.us/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid33093743361.yonser.co.nz/kunde.html

アドレス引けず
ttp://www.53.com.businessandcorporate./customerdata
ttp://www.53.com.bankingportal.id489531163681.letela.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id47938144.letela.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id9044141.golt-7.biz/sbcbconfirm
ttp://www.bankofamerica.com.onlinebankingid55544543.letela.biz/session.cgi

● 53.comその他の偽サイト アドレス204.13.160.28(アメリカ)逆引きhost204-13-160-28.oversee.net
過去にも発見されています。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.businessandcorporate.missch.biz/customerdata
ttp://www.53.com.bankingportal.id152680244.rebig.biz/sbcbconfirm

● 53.comその他の偽サイト アドレス 67.15.35.126(アメリカ)逆引き67-15-35-126.opticaljungle.com
過去にも発見されています。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.bankingportal.id180829188.amogech.biz/sbcbconfirm

● 53.comその他の偽サイト アドレスは 64.94.98.9でアメリカ、逆引きはtestingip.ws
過去にも発見されています。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.bankingportal.id997928189917.krrivhan.ws/sbcbconfirm
ttp://sparkasse.de.finanzen_kunden_986606059.krrivhan.ws/index.htm
ttp://www.53.com.bankingportal.id0220480172.krrivhan.ws/sbcbconfirm

● desjardins.comの偽サイト ttp://200-170-178-140.xf-static.ctbcnetsuper.com.br/secure/acces-d/
ClamAVでHTML.Phishing.Bank-954と検知されています。ctbcnetsuper.com.brなのでブラジルのISPの回線上にあります。

9:48現在サーバーは生きていますがポート80の接続は拒絶されます。

● paypal.comの偽サイト ttp://cpe.atm4-0-1071173.0x3ef2c47e.svgnxx3.customer.tele.dk/www.paypal.com/cgi-bin/index.htm
ClamAVでHTML.Phishing.Pay-110と検知されています。

cpe.atm4-0-1071173.0x3ef2c47e.svgnxx3.customer.tele.dkのアドレスは62.242.196.126でオランダ、サーバー応答は以下
Server: Apache/2.2.3 (Win32) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d mod_autoindex_color PHP/5.1.6

ログイン画面

認証しているふりの画面

口座情報詐取画面(上部)

(下部)
paypalinfos@gmail.com


● ebay.comの偽サイト ttp://surajsa.rbcmail.ru/dllSignIncopartnerIdpUserIdsiteid0pageTypeUsingSSLdllSignIncopartnerIdpUserIdsiteig
ClamAVでHTML.Phishing.Auction-275と検知されています。rbcmail.ruはロシアのレンタルサーバーです。

surajsa.rbcmail.ruのアドレスは82.204.219.230でロシア、逆引きはftp.rbcmail.ru、サーバー応答はServer: nginx/0.3.37

ログイン画面、このあと本物のサイトに飛ばされます
詐取された情報はaction=http://www.statesmanjournal.com/apps/xsendmail.dllとなっていてfara_nr1@fastermail.comに送られます

● ebay.comの偽サイト ttp://www.clickonpc.com/www.ebay.com/signin2.htm
ClamAVでHTML.Phishing.Auction-261と検知されています。トップページはNot Foundとなります。

www.clickonpc.comのアドレスは208.113.157.185でアメリカ、逆引きはbasic-quack.lemonhead.dreamhost.com、サーバー応答は以下
Server: Apache/1.3.37 (Unix) mod_throttle/3.1.2 DAV/1.0.3 mod_fastcgi/2.4.2 mod_gzip/1.3.26.1a PHP/4.4.4 mod_ssl/2.8.22 OpenSSL/0.9.7e

ログイン画面

口座情報詐取画面(上部)

(中央部)

(下部)

— posted by staff @ 09:08AM | TrackBack (0) |  top↑

December 28, 2006

● ebay.comの偽サイト ttp://0x41726705/ws/eBayISAPI.dll
ClamAVでHTML.Phishing.Auction-258と検知されています。

21:55時点でThe page cannot be foundとなります。

ttp://0x41726705/のわかりやすい表記は65.114.103.5でアメリカ、逆引きは無し、サーバー応答はMicrosoft-IIS/6.0

ログイン画面、このあと本物のサイトに飛ばされます

● bankofamerica.comの偽サイト ttp://www.google.com/url?q=3D%68%74%74%70%3a%2f%2fsommer.csommer.com/h.htm
ClamAVでHTML.Phishing.Pay-88と検知されています。

以下に飛ぶようになっていますがgoogleが設定をしたらしく飛びません。以下は直接URLを入れて観測。
ttp://sommer.csommer.com/h.htm

すると以下に飛びます。
ttp://86.36.43.141/www.bankofamerica.com/BankofAmericaOnlineID/cgi-bin/sso.login.controller/SignIn/

sommer.csommer.comの情報:
トップページは企業のウエブサイト、アドレスは200.36.54.131でメキシコ、逆引きは同じ、サーバー応答はMicrosoft-IIS/5.0

86.36.43.141の情報:
トップページはWelcome to XAMPP for Windows Version 1.5.5!、アドレスはカタール、逆引きは無し、サーバー応答は以下
Server: Apache/2.2.3 (Win32) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d mod_autoindex_color PHP/5.2.0

いきなり口座情報詐取画面(上部)

(下部)

● 53.comその他の偽サイト アドレス217.159.230.198(エストニア)逆引き217-159-230-198-dsl.lse.estpak.ee.
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.bankingportal.id2034724842.amogech.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id7694450.amogech.biz/sbcbconfirm
ttp://www.bankofamerica.com.onlinebankingid4070321754.rebig.biz/session.cgi
ttp://www.53.com.bankingportal.id51588903968.rebig.biz/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid9044374249.rebig.biz/kunde.html
ttp://www.volksbank.de.networld.onlineid66309472.amogech.biz/kunde.html
ttp://www.53.com.bankingportal.id80591244518612.amogech.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id6486194398.golt-7.biz/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid9044374249.rebig.biz/kunde.html
ttp://www.volksbank.de.networld.onlineid66309472.amogech.biz/kunde.html
ttp://sparkasse.de.finanzen_kunden_3164565986.golt-7.biz/index.htm

● hsbc.co.ukの偽サイト ttp://www.google.com/url?q=%68%74%74%70%3A%2F%2F457203011511101460740602-stblosbluwqowjeiutop.%76%68%61%75%65%6F%2E%68%6B/%48S%42C/%73ec%75%72e/l%6Fg%69n/?id=26271366268&account=211o2dU5A688SdHaQdo-4034
ClamAVでHTML.Phishing.Bank-848と検知されています。ここにつなぐと以下にとばされます。
ttp://457203011511101460740602-stblosbluwqowjeiutop.vhaueo.hk/HSBC/secure/login/?id=26271366268

ゾンビPCによる詐欺で下のサイトと同じ動きをします。ドメインvhaueo.hkも同じです。アドレスは以下のように複数あります。
68.114.137.51 == 68-114-137-51.dhcp.jcsn.tn.charter.com
70.117.252.211 == cpe-70-117-252-211.sport.res.rr.com
71.83.135.9 == 71-83-135-9.static.lsan.ca.charter.com
76.168.106.189 == cpe-76-168-106-189.socal.res.rr.com
82.199.38.232 == 逆引き無し、スペイン

ログイン画面

もう1つ窓が開いて口座情報詐取画面が現れます

終わってもまだ偽サイトに留まります

● 53.comその他の偽サイト アドレス217.113.1.16(アルメニア)逆引き16.1.113.217.auto.web.am
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.bankingportal.id28505682185.god-nk.biz/sbcbconfirm
ttp://www.bankofamerica.com.onlinebankingid14085045.letela.biz/session.cgi
ttp://www.53.com.bankingportal.id633537949.yoret.info/sbcbconfirm
ttp://www.53.com.bankingportal.id595558795826.god-nk.biz/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid80396145.rebig.biz/kunde.html
ttp://www.53.com.bankingportal.id1583432403.golt-7.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id801290392226.golt-7.biz/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid939733829.letela.biz/kunde.html
ttp://www.53.com.bankingportal.id292610666238.god-nk.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id8902189361.yoret.info/sbcbconfirm
ttp://www.53.com.bankingportal.id387158389.yoret.info/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid55867434169.god-nk.biz/kunde.html
ttp://sparkasse.de.finanzen_kunden_87590345.god-nk.biz/index.htm (新URL)
ttp://sparkasse.de.finanzen_kunden_111334192993.rebig.biz/index.htm (新URL)
ttp://www.53.com.bankingportal.id283469102.yoret.info/sbcbconfirm
ttp://www.53.com.bankingportal.id283911073.rebig.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id5387328.yoret.info/sbcbconfirm
ttp://www.53.com.bankingportal.id7762863087.god-nk.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id482480658.yoret.info/sbcbconfirm

● hsbc.co.ukの偽サイト ttp://www.google.com/url?q=%68%74%74%70%3A%2F%2F43047312667887785664-nioxcajehiameeekizivuecu.%76%68%61%75%65%6F%2E%68%6B/%48S%42C/%73ec%75%72e/l%6Fg%69n/?id=517061105527202670&account=u085YEG317UHwWtHrp-1400
ClamAVでHTML.Phishing.Bank-848と検知されています。

ここにつなぐと以下に飛ばされます。
ttp://43047312667887785664-nioxcajehiameeekizivuecu.vhaueo.hk/HSBC/secure/login/?id=517061105527202670

43047312667887785664-nioxcajehiameeekizivuecu.vhaueo.hkのアドレスは以下のように複数あります。ゾンビPCによる詐欺です。

24.174.193.254 == cpe-24-174-193-254.elp.res.rr.com
24.182.34.100 == 24-182-34-100.static.lnbh.ca.charter.com
68.210.228.167 == host-68-210-228-167.ags.bellsouth.net
69.241.20.10 == c-69-241-20-10.hsd1.tn.comcast.net
70.238.202.116 == adsl-70-238-202-116.dsl.lbcktx.sbcglobal.net

ドメインvhaueo.hkはこの詐欺の為に取得されたもので10月29日の登録、1年の期限です。

ログイン画面

もう1つ窓が開いて口座情報詐取画面が現れます

これでおわったという画面、まだ偽サイトに居ます

● 53.comその他の偽サイト アドレス200.93.89.189(ベネズエラ)逆引き200.93.89-189.dyn.dsl.cantv.net
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.bankofamerica.com.onlinebankingid7692751.yonser.co.nz/session.cgi
ttp://www.53.com.bankingportal.id4302283795.yonser.co.nz/sbcbconfirm
ttp://www.53.com.bankingportal.id539679225.missch.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id46638070.ngenasufe.bz/sbcbconfirm
ttp://www.53.com.bankingportal.id3680881049142.missch.biz/sbcbconfirm
ttp://www.bankofamerica.com.onlinebankingid0663532516.yonser.co.nz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid3401852.slerif.biz/session.cgi

● 53.comその他の偽サイト アドレス200.114.0.185(コロンビア)逆引きic-corporativo-200-114-0-185.intercable.net.co
このアドレスは過去にも発見されています。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.bankofamerica.com.onlinebankingid4249861784.rebig.biz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid8985354987.yonser.co.nz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid29095350.yonser.co.nz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid2188368.yonser.co.nz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid84946552.5op5.jp/session.cgi
ttp://www.53.com.bankingportal.id48208166.missch.biz/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid1703239972.missch.biz/kunde.html
ttp://www.volksbank.de.networld.onlineid1215873570.rebig.biz/kunde.html

● paypal.comの偽サイト ttp://static-70-96-84-238.dsl1.mnd.mn.frontiernet.net:81/.confirm/index.php?MfcISAPICommand=SignInFPP
ClamAVでHTML.Phishing.Bank-28と検知されています。ポート80のトップページにはつながりません。

static-70-96-84-238.dsl1.mnd.mn.frontiernet.netのアドレスは70.96.84.238でアメリカ、サーバー応答はApache/2.0.55 (Win32) PHP/4.4.1

口座情報詐取画面(上部)

(下部)

— posted by staff @ 12:04AM | TrackBack (0) |  top↑

December 27, 2006

● 53.comその他の偽サイト アドレス85.196.189.58(ブルガリア)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.businessandcorporate.yonser.co.nz/customerdata
ttp://www.53.com.businessandcorporate.rebig.biz/customerdata
ttp://www.volksbank.de.networld.onlineid100909325.didold.sa.com/kunde.html
ttp://www.53.com.bankingportal.id0552332267710.rebig.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id407000686.ngenasufe.bz/sbcbconfirm
ttp://www.53.com.bankingportal.id0951322960855.tedaosp.us/sbcbconfirm
ttp://www.53.com.bankingportal.id3253975.ngenasufe.bz/sbcbconfirm
ttp://www.53.com.bankingportal.id95724342608.rebig.biz/sbcbconfirm

アドレス引けず
ttp://www.53.com.bankingportal.id1156014866591.missch.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id84699993989714.tedaosp.us/sbcbconfirm

● 53.comその他の偽サイト アドレス210.97.77.171(韓国)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.businessandcorporate.konsin.at/customerdata
ttp://www.53.com.businessandcorporate.fueresd.ws/customerdata
ttp://www.53.com.bankingportal.id220384593987.ngenasufe.bz/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid9104607898.rebig.biz/kunde.html
ttp://www.volksbank.de.networld.onlineid77990462504.ngenasufe.bz/kunde.html
ttp://www.53.com.bankingportal.id7524260623.etwasan.ws/sbcbconfirm
ttp://www.53.com.bankingportal.id4879390388.tedaosp.us/sbcbconfirm
ttp://www.volksbank.de.networld.onlineid34374872959.etwasan.ws/kunde.html
ttp://www.volksbank.de.networld.onlineid5572211345.etwasan.ws/kunde.html
ttp://www.volksbank.de.networld.onlineid56528668.mailaac.bz/kunde.html

● 53.comその他の偽サイト アドレス211.196.169.236(韓国)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.bankingportal.id2925150534740.slerif.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id6460640159678.missch.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id9688934319.rebig.biz/sbcbconfirm
ttp://www.53.com.bankingportal.id05271822284465.rebig.biz/sbcbconfirm
ttp://www.53.com.businessandcorporate.missch.biz/customerdata

アドレス引けず
ttp://www.53.com.bankingportal.id59682673494.didold.sa.com/sbcbconfirm
ttp://www.53.com.businessandcorporate.didold.sa.com/customerdata

● 53.comその他の偽サイト アドレス221.4.178.31(中国)逆引き無し
詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下)
ttp://www.53.com.businessandcorporate.lobopi.biz/customerdata

● bankofamerica.comの偽サイト ttp://www.bankofamerica.com.sas.foiedelotte.com/.sitekey/signondo/index.php?adlink=3D00084740000484800938
ClamAVでHTML.Phishing.Bank-213と検知されています。

08:00時点でサーバーの応答は無し。

アドレスは200.3.252.26でパラグアイ、逆引きは無し。

— posted by staff @ 12:14AM | TrackBack (0) |  top↑

2006年12月のエントリー 33 件中 1-5 件を ボックス表示リスト表示
次の 5 件 »