ClamAVでHTML.Phishing.Card-43と検知されています。トップページは建設機械の会社のホームページ。

robex-dk.czのアドレスは88.86.104.10でチェコ、逆引きはsusan.superhosting.cz、サーバー応答はServer: Apache

ログイン画面

個人情報詐取画面

カード情報詐取画面

22:30現在Not Foundになります。

アドレス220.130.84.44は台湾、逆引きは220-130-84-44.HINET-IP.hinet.net、サーバー応答はApache/2.0.50 (Unix) PHP/4.3.8 mod_jk2/2.0.4

8月に発見されているアドレスです。同じPCというよりDHCPでたまたま取得したアドレスかもしれません。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.bankingportal.id518352971.sintx.info/conf
ttp://www.53.com.bankingportal.id6090975641.totfit.biz/conf
ttp://www.volksbank.de.networld.onlineid75149295.sintx.info/kunde.htm
ttp://www.53.com.bankingportal.id35407746597.hmitx.biz/conf
ttp://www.53.com.bankingportal.id4927585350.glopd.co.nz/conf
ttp://www.53.com.bankingportal.id8727073431442.tbitx.us/conf
ttp://www.bankofamerica.com.onlinebankingid370151091.totca.biz/session.cgi
ttp://www.53.com.bankingportal.id603938688.totfit.biz/conf
ttp://www.53.com.portal.busid470705.ultratot.net/cbdir
ttp://www.bankofamerica.com.onlinebankingid7121706933.usetx.com/session.cgi
ttp://www.53.com.bankingportal.id42880109091.usetx.com/conf
ttp://www.bankofamerica.com.onlinebankingid8426336990.usetx.com/session.cgi
ttp://www.53.com.portal.busid6644545.ultratot.net/cbdir
ttp://www.53.com.bankingportal.id2390000052.usetx.com/conf
ttp://www.volksbank.de.networld.onlineid784064386.totca.biz/kunde.htm>
ttp://www.volksbank.de.networld.onlineid9028781867.sintx.info/kunde.htm
ttp://www.53.com.bankingportal.id5988231.ematx.biz/conf
ttp://www.bankofamerica.com.onlinebankingid4233320.usetx.com/session.cgi
ttp://www.bankofamerica.com.onlinebankingid2373713.totfit.biz/session.cgi

アドレス引けず
ttp://www.53.com.portal.busid41009975.0nscentro.biz/cbdir
ttp://www.53.com.portal.busid78796.0nscentro.biz/cbdir

ClamAVでHTML.Phishing.Pay-36と検知されています。トップページは建設会社のホームページです。

アドレス66.195.105.55はアメリカ、逆引きは66-195-105-55.static.twtelecom.net、サーバー応答はApache/2.0.40 (Red Hat Linux)

口座情報詐取画面

過去にも発見されているアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.bankofamerica.com.onlinebankingid2637145501.sintx.info/session.cgi
ttp://www.bankofamerica.com.onlinebankingid1118727.totfit.biz/session.cgi
ttp://www.53.com.bankingportal.id77506523957.totca.biz/conf
ttp://www.53.com.bankingportal.id640073939993.usetx.com/conf
ttp://www.53.com.bankingportal.id8273159388937.usetx.com/conf
ttp://www.53.com.bankingportal.id47321367150.totca.biz/conf
ttp://www.53.com.bankingportal.id716134967906.usetx.com/conf
ttp://www.53.com.bankingportal.id38911549.tbitx.us/conf
ttp://www.53.com.bankingportal.id202769013.glopd.co.nz/conf
ttp://www.53.com.bankingportal.id0950424025161.totca.biz/conf
ttp://www.53.com.bankingportal.id5372164189258.nstny.us/conf
ttp://www.53.com.bankingportal.id622838166080.totca.biz/conf
ttp://www.53.com.bankingportal.id69307259446.htotd.info/conf
ttp://www.53.com.bankingportal.id81132300285199.htotd.info/conf
ttp://www.53.com.bankingportal.id12140460719344.sintx.info/conf
ttp://www.53.com.bankingportal.id6133715139618.sintx.info/conf
ttp://www.53.com.bankingportal.id0289690.nstny.us/conf
ttp://www.53.com.bankingportal.id015223016094.totca.biz/conf
ttp://www.bankofamerica.com.onlinebankingid8816535181.sintx.info/session.cgi
ttp://www.53.com.bankingportal.id6505115.totca.biz/conf
ttp://www.53.com.bankingportal.id22784308166.sintx.info/conf
ttp://www.53.com.portal.busid42913.ezgor.biz/cbdir
ttp://www.53.com.bankingportal.id93653012.totca.biz/conf
ttp://www.53.com.portal.busid7871579.htotd.info/cbdir
ttp://www.53.com.bankingportal.id0631837931.usetx.com/conf
ttp://www.bankofamerica.com.onlinebankingid90688794.usetx.com/session.cgi
ttp://www.53.com.bankingportal.id007410877409.hunglop.biz/conf
ttp://www.53.com.bankingportal.id1742820251.tbitx.us/conf
ttp://www.53.com.bankingportal.id0598725.totfit.biz/conf
ttp://www.bankofamerica.com.onlinebankingid2637145501.sintx.info/session.cgi
ttp://www.53.com.portal.busid40779.ultratot.net/cbdir
ttp://www.53.com.bankingportal.id6728881.htotd.info/conf
ttp://www.53.com.bankingportal.id1699397.sintx.info/conf
ttp://www.53.com.portal.busid745552.hunglop.biz/cbdir
ttp://www.53.com.portal.busid97214028.totca.biz/cbdir
ttp://www.53.com.portal.busid669255.sintx.info/cbdir
ttp://www.53.com.bankingportal.id66763533.htotd.info/conf
ttp://www.53.com.portal.busid733187893.sintx.info/cbdir
ttp://www.53.com.portal.busid782213846.0nscentro.biz/cbdir
ttp://www.bankofamerica.com.onlinebankingid79899016.sintx.info/session.cgi
ttp://www.53.com.bankingportal.id8423447609261.nstny.us/conf
ttp://www.53.com.bankingportal.id5834737.nstny.us/conf
ttp://www.bankofamerica.com.onlinebankingid8318487449.totca.biz/session.cgi
ttp://www.53.com.portal.busid0478977.htotd.info/cbdir
ttp://www.53.com.bankingportal.id7883257.totca.biz/conf
ttp://www.53.com.portal.busid27168.antterra.us/cbdir
ttp://www.53.com.bankingportal.id67246978.sintx.info/conf
ttp://www.53.com.bankingportal.id6024184977464.totca.biz/conf
ttp://www.53.com.portal.busid1601639.antterra.us/cbdir
ttp://www.53.com.bankingportal.id009967345689.totca.biz/conf
ttp://www.53.com.bankingportal.id690349043.sintx.info/conf
ttp://www.53.com.portal.busid30601148.fg5tx.co.nz/cbdir
ttp://www.53.com.portal.busid13346985.terramine.biz/cbdir
ttp://www.53.com.bankingportal.id6728881.htotd.info/conf
ttp://www.53.com.bankingportal.id1699397.sintx.info/conf
ttp://www.bankofamerica.com.onlinebankingid4233320.usetx.com/session.cgi
ttp://www.bankofamerica.com.onlinebankingid2373713.totfit.biz/session.cgi
ttp://www.53.com.bankingportal.id6728881.htotd.info/conf
ttp://www.53.com.bankingportal.id1699397.sintx.info/conf
ttp://www.53.com.bankingportal.id3506768.usetx.com/conf
ttp://www.53.com.bankingportal.id97948082821.tbitx.us/conf
ttp://www.53.com.portal.busid7430626.antterra.us/cbdir

アドレス引けず
ttp://www.53.com.portal.busid79027.0nscentro.biz/cbdir
ttp://www.53.com.portal.busid035697.antterra.us/cbdir
ttp://www.volksbank.de.networld.onlineid808883132.0nsterra.info/kunde.htm
ttp://www.53.com.bankingportal.id4993428777./conf

ClamAVでEmail.Phishing.RB-181と検知されています。ポート80のトップページはBad Request (Invalid Hostname)と表示されます。

アドレス212.83.250.123はオランダ、逆引きはwww.estetica.nl、サーバー応答はApache/1.3.23 (Win32)、ポート80側の応答は400 Bad Request

ログイン画面

必ずエラーになります

ClamAVでHTML.Phishing.Auction-202と検知されています。googleのリダイレクタで ttp://200.146.225.1/.md/singin.ebay.com/ws2/ に飛ばされます。

トップページttp://200.146.225.1/につなぐと ttp://webmail.automotivapneus.com.br/cgi-bin/openwebmail/openwebmail.pl に飛ばされますがNot Foundとなります。

アドレス200.146.225.1はブラジル、逆引きは200-146-225-001.xf-static.ctbcnetsuper.com.br、サーバー応答はApache/2.0.51 (Fedora)

今回はこのようにリダイレクトの警告が出ますがフィッシングのデータベースにあるときだけなのかもしれません

ログイン画面

必ずエラーになります
ソースにqxlebay＠yahoo.comというアドレスがあるのでここに送られるようです

ClamAVでHTML.Phishing.Bank-214と検知されています。

ここにつなぐと ttp://memorypdlr.com/us/webscr.php?cmd=_login-run に飛ばされます。

210.230.241.236の情報：
トップページは日本の企業のホームページ
アドレスは、逆引きは、サーバー応答はServer: Apache

memorypdlr.comの情報：
トップページにつなぐとまたpaypalの詐欺ページになります
アドレスは多数ありyahoo.comのビジネスサービスを使って立ち上がっています

ドメインmemorypdlr.comはこの詐欺の為に取得されたもので1月31日の登録、1年の期限です

ログイン画面

必ずエラーになります
ソースにはdenisafatasucara＠yahoo.com というアドレスがあるのでここに送られるようです

ClamAVでHTML.Phishing.Bank-80と検知されています。トップページはWeb page unavailableと表示されます。

wumt-dll.comのアドレスは217.76.132.46でスペイン、逆引きはflgc168.serveursdns.net、サーバー応答はServer: Apache

ドメインwumt-dll.comは1月29日の取得、1年の期限なので詐欺のため取得されているようです。

ログイン画面

ClamAVでHTML.Phishing.Azon-17と検知されています。トップページにはフェンシングの画像が多数見えます。

www.cebessemans.beのアドレスは213.186.33.16でフランス、逆引きは720plan.ovh.net、サーバー応答はServer: Apache

ログイン画面

必ずエラーになります
ソースを見るとmuistutza＠yahoo.comというアドレスがあるのでここに送られるようです

新アドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.bankofamerica.com.onlinebankingid4008520.totfit.biz/session.cgi
ttp://www.53.com.bankingportal.id6545375.totfit.biz/conf
tp://www.bankofamerica.com.onlinebankingid6252617.ultratot.net/session.cgi
ttp://www.53.com.bankingportal.id307496417.totfit.biz/conf
ttp://www.53.com.bankingportal.id06681249470.totca.biz/conf
ttp://www.53.com.bankingportal.id218597131935.totca.biz/conf

アドレス引けず
ttp://www.53.com.bankingportal.id0282124289.antterra.us/conf
ttp://www.53.com.bankingportal.id6594026.antterra.us/conf
ttp://www.53.com.bankingportal.id8521580.antterra.us/conf
ttp://www.53.com.bankingportal.id2224305883612.0nscentro.biz/conf
ttp://www.53.com.bankingportal.id56816516.fior0.info/conf

ClamAVでHTML.Phishing.Bank-399と検知されています

googleのリダイレクタを使って以下に飛ばされます。昨日レポートした無断使用チェックにはひっかからないようです。
ttp://24.231.244.22/chaseonline.chase.com/online/logon/index.php

このアドレスは1月28日にpaypalの詐欺ページが発見されたところです。トップページを見るとpaypal詐欺用のディレクトリだけだったのがchase用のディレクトリもできています。

アドレス24.231.244.22は24-231-244-22.static.aldl.mi.charter.comでアメリカ、サーバー応答はApache/2.0.55 (Win32)

ログイン画面

口座情報詐取画面

ClamAVでHTML.Phishing.Bank-1004と検知されています。トップページはPHPTriad 2.2の初期画面。

アドレス72.15.144.151はカナダ、逆引き無し、サーバー応答はApache/1.3.23 (Win32)

ログイン画面

クレジットカード情報を含む口座情報詐取画面

新アドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.bankingportal.id28521428343.totfit.biz/conf
ttp://www.53.com.bankingportal.id1147322837602.totfit.biz/conf
ttp://www.53.com.bankingportal.id30210361.terramine.biz/conf
ttp://www.53.com.bankingportal.id168653526.terramine.biz/conf
ttp://www.53.com.bankingportal.id9364332685928.ultratot.net/conf
ttp://www.bankofamerica.com.onlinebankingid35036772.fior0.info/session.cgi
ttp://www.53.com.bankingportal.id34728156.totca.biz/conf
ttp://www.53.com.bankingportal.id0276362.totfit.biz/conf
ttp://www.bankofamerica.com.onlinebankingid394353491.terramine.biz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid422784555.qote4ud.info/session.cgi
ttp://www.53.com.bankingportal.id212339230199.fior0.info/conf
ttp://www.53.com.bankingportal.id31147505498390.0nsterra.info/conf
ttp://www.53.com.bankingportal.id62367473408.fior0.info/conf
ttp://www.53.com.bankingportal.id8149899.totfit.biz/conf
ttp://www.53.com.bankingportal.id722111315421.0nsluogo.org/conf
ttp://www.53.com.bankingportal.id212339230199.fior0.info/conf
ttp://www.53.com.bankingportal.id64100562559976.fior0.info/conf
ttp://www.53.com.bankingportal.id6925909.fior0.info/conf
ttp://www.bankofamerica.com.onlinebankingid9711708012.fior0.info/session.cgi

新アドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.bankingportal.id543410806336.totca.biz/conf
ttp://www.53.com.bankingportal.id974667677.antterra.us/conf
ttp://www.53.com.bankingportal.id4823284.0nsterra.info/conf
ttp://www.53.com.bankingportal.id6933069.0nsterra.info/conf
ttp://www.53.com.bankingportal.id2224305883612.0nscentro.biz/conf
ttp://www.53.com.bankingportal.id270772905.ultratot.net/conf
ttp://www.bankofamerica.com.onlinebankingid4377020.ultratot.net/session.cgi
ttp://www.53.com.bankingportal.id7012099525.ultratot.net/conf
ttp://www.53.com.bankingportal.id43050173898.0nscentro.biz/conf
ttp://www.53.com.bankingportal.id79500103504.0nsterra.info/conf
ttp://www.53.com.bankingportal.id233900240.fior0.info/conf
ttp://www.53.com.bankingportal.id9684616608.0nsluogo.org/conf
ttp://www.53.com.bankingportal.id09463350842.0nscentro.biz/conf
ttp://www.53.com.bankingportal.id6647861650.fior0.info/conf
ttp://www.53.com.bankingportal.id963909793.fior0.info/conf
ttp://www.53.com.bankingportal.id963909793.fior0.info/conf
ttp://www.53.com.bankingportal.id809168194641.totfit.biz/conf
ttp://www.53.com.bankingportal.id2831923.ultratot.net/conf
ttp://www.53.com.bankingportal.id93913085418594.totfit.biz/conf
ttp://www.53.com.bankingportal.id0659954547591.totca.biz/conf
ttp://www.53.com.bankingportal.id21263880721.fior0.info/conf
ttp://www.53.com.bankingportal.id58680090.0nscentro.biz/conf
ttp://www.53.com.bankingportal.id9261866373953.antterra.us/conf
ttp://www.53.com.bankingportal.id899800387321.totca.biz/conf
ttp://www.53.com.bankingportal.id5097080637791.0nsluogo.org/conf

アドレス引けず
ttp://www.53.com.bankingportal.id92282834837.quddi.info/conf
ttp://www.bankofamerica.com.onlinebankingid72199119.officials2you.info/session.cgi

ClamAVでHTML.Phishing.Bank-1095と検知されています。

ここにつなぐと ttp://medios.or.kr/js/logon/index.htm に飛ばされます。

pd95b7e67.dip0.t-ipconnect.deの情報：
トップページは Parse error: parse error, unexpected T_CONSTANT_ENCAPSED_STRING in /var/www/html/Gas/index.php on line 10 という表示になります
アドレスは217.91.126.103でドイツ、サーバー応答はApache/2.0.40 (Red Hat Linux)

medios.or.krの情報：
トップページは韓国の病院のページ
アドレスは61.73.63.150、逆引き無し、サーバー応答はApache/2.2.3 (Unix) mod_ssl/2.2.3 OpenSSL/0.9.7f DAV/2 PHP/5.1.6

ログイン画面

一度エラーになります

次は、おまえのアカウントは閉鎖されていると脅かします

口座情報とクレジットカード番号を詐取されます

ClamAVでHTML.Phishing.Auction-144と検知されています。

ここにつなぐと以下に飛ばされます。
ttp://wohnwahn.com/cgi.ebay.com/ws/ebayisapi_dllsignin&co_partnerid=2/ebayisapi_dllsignin&co_partnerid=2/

nonito-shop.comの情報：
トップページはジュースの宣伝サイト(日本語）
アドレスは85.214.34.243でドイツ、逆引きはserver03.hap-webtechnik.net、サーバー応答はApache/2.0.53 (Linux/SUSE)

wohnwahn.comの情報：
トップページはDomain: wohnwahn.com This page has been automatically generated by Plesk. というメッセージのみ
アドレスは85.214.34.243(上と同じ）

ログイン画面
このあと本物のサイトに飛ばされます

ClamAVでHTML.Phishing.Pay-36と検知されています。トップページはtribox user panelというSIPサーバー管理画面になっています。

dccc-66-78-217-41.smartcity.comのアドレスは66.78.217.41でアメリカ、逆引きはdccc-66-78-217-41.smartcity.com、サーバー応答はApache/2.0.52 (CentOS)

ログイン画面

認証しているふりの画面

口座情報詐取画面
ソースを見るとshakimel＠gmail.comというメールアドレスがあるのでここに送られているものと思われます。

何度も見つかっているアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.bankingportal.id814601787424.innme.info/conf
ttp://www.volksbank.de.networld.onlineid56383.honis.jp/kunde.htm

トップページはGreatTurbo Enterprise Server Test Pageとなりインストール直後の初期画面です。

アドレス61.183.17.86は中国、逆引き無し、サーバー応答はApache/2.0.52 (Turbo)

ログイン画面
このあと本物のサイトに飛ばされます

このサイト ttp://200.204.36.7:81/ は1月26日にもbankofamerica.comの偽サイトとして立ち上がっていました。

ポート80のトップページはStorage Petróleo - Intranetと表示されます。

アドレス200.204.36.7はブラジル、逆引きは200-204-36-7.dsl.telesp.net.br、サーバー応答はApache/2.0.40 (Red Hat Linux)

ログイン画面

口座情報詐取画面

googleのリダイレクタを無断で使って ttp://velocitygamers.com/ に飛ばされますがコンテンツは存在しません。実際には ttp://prolink2.reseller.com/suspended.page/ というURLに飛ばされます。/suspended.page/とあるように気がついて削除されたようです。

velocitygamers.comのアドレスは72.232.141.147でアメリカ、逆引きは147.141.232.72.reverse.layeredtech.com、サーバー応答は以下
Server: Apache/1.3.37 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.4.3 FrontPage/5.0.2.2635.SR1.2 mod_ssl/2.8.28 OpenSSL/0.9.7a

実際につなごうとするとgoogleでこの警告が表示されるようになりました。偽サイトの権威や信頼性を高く見せようとしたり、本来のURLを隠す目的でリダイレクタが使われる事例が多いのですが、無断利用に対してやっと対策がなされたようです。ソースを見るとunauthorizedredirectという文字が見つかるので無断使用対策ととれます。どうせならその文面を画面に表示したり、一歩踏み込んで「フィッシング詐欺の可能性も考えられます」のような文面をいれてくれると更に良し。

Firefox2, IE7それにOpera9.1といった主要なブラウザの最新版にはすでにフィッシング検出機能が付いたのでこのgoogleの対策とともにフィッシング詐欺が収束すれば（そしてこのblogもやる意味が無くなれば）いいのですが。

何度も発見されているアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.bankingportal.id81654658590317.qote4ud.biz/conf
ttp://www.53.com.bankingportal.id658015464508.officials2you.info/conf
ttp://www.53.com.bankingportal.id35710956.matgel.biz/conf
ttp://www.53.com.bankingportal.id0604049732224.justsonline.info/conf
ttp://www.53.com.bankingportal.id62595488120796.matgel.biz/conf
ttp://www.53.com.bankingportal.id2988153285.officials2you.info/conf
ttp://www.bankofamerica.com.onlinebankingid897078364.justsonline.info/session.cgi

ClamAVでHTML.Phishing.Pay-110と検知されています。

ここにつなぐと ttp://216.133.240.236/www.paypal.com/index.htm に転送されます。

39117.vs.webtropia.comの情報：
ttp://www.webtropia.com/ を見るとレンタルサーバーのようです。
39117.vs.webtropia.comのアドレスは62.141.39.117でドイツ、逆引きは39117.vs.webtropia.com、サーバー応答は以下
Server: Apache/2.2.3 (Win32) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d mod_autoindex_color PHP/5.1.6

216.133.240.236の情報：
トップページはIt works!とだけ表示されます。
アドレス216.133.240.236はアメリカ、逆引きはNET-allocation-00025602.ix.sitestream.net、サーバー応答は以下
Server: Apache/2.2.3 (Win32) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d mod_autoindex_color PHP/5.2.0

ログイン画面

認証しているふりの画面

口座情報詐取画面
詐取された情報はメールでpaypalinfos＠gmail.comに送られます

何度も発見されているアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.portal.busid291669255.honis.jp/cbdir
ttp://www.53.com.bankingportal.id6384238.qote4ud.biz/conf
ttp://www.bankofamerica.com.onlinebankingid5895595460.honis.jp/session.cgi
ttp://www.53.com.bankingportal.id44406446401552.honis.jp/conf
ttp://www.53.com.portal.busid81923645.udhus.biz/cbdir
ttp://www.53.com.portal.busid5180028.honis.jp/cbdir
ttp://www.53.com.bankingportal.id4276412.innme.info/conf
ttp://www.53.com.bankingportal.id914587170485.innme.info/conf
ttp://www.53.com.bankingportal.id3900202299.qote4ud.biz/conf
ttp://www.53.com.portal.busid19720542.quddi.info/cbdir
ttp://www.bankofamerica.com.onlinebankingid3503769754.honis.jp/session.cgi
ttp://www.53.com.portal.busid33740.yourheter.biz/cbdir
ttp://www.53.com.portal.busid983250323.udhus.biz/cbdir
ttp://www.53.com.bankingportal.id494982488981.justsonline.info/conf
ttp://www.53.com.bankingportal.id16594824.officials2you.info/conf
ttp://www.bankofamerica.com.onlinebankingid70647463.justsonline.info/session.cgi
ttp://www.53.com.bankingportal.id067190893.matgel.biz/conf
ttp://www.volksbank.de.networld.onlineid44953.honis.jp/kunde.htm
ttp://www.53.com.bankingportal.id3900202299.qote4ud.biz/conf
ttp://www.bankofamerica.com.onlinebankingid2745252158.honis.jp/session.cgi
ttp://www.53.com.bankingportal.id7794664009.justsonline.info/conf
ttp://www.53.com.portal.busid50598.quddi.info/cbdir
ttp://www.bankofamerica.com.onlinebankingid0882270.justsonline.info/session.cgi
ttp://www.53.com.bankingportal.id43870306414.innme.info/conf
ttp://www.53.com.bankingportal.id4320355312938.officials2you.info/conf
ttp://www.53.com.bankingportal.id76005531129.officials2you.info/conf
ttp://www.53.com.bankingportal.id39753418.honis.jp/conf
ttp://www.53.com.bankingportal.id77369261.qote4ud.info/conf

ClamAVでHTML.Phishing.Bank-473と検知されています。トップページにはOfficeWeb INTRANET PARKという簡単な画面が見えます。

co-de.comのアドレスは82.144.6.226でオランダ、逆引きは無し、サーバー応答はApache/2.0.40 (Red Hat Linux)

ログイン画面

口座情報詐取画面

トップページはApache初期画面です。

ns1.nuclearcast.comのアドレスは210.193.55.2でシンガポール、逆引きはns1.nuclearcast.com、サーバー応答は以下
Server: Apache/1.3.37 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.7a PHP/4.4.4 FrontPage/5.0.2.2510

ログイン画面
ソースを見るとフォームは action=http://webtools.gmti.com/cgi-bin/webforms.pl
と jims_srl＠yahoo.com というメールアドレスがあります

26日にも発見されたアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.portal.busid60051.quddi.info/cbdir
ttp://www.53.com.bankingportal.id1837679.matgel.biz/conf
ttp://www.53.com.bankingportal.id87363384653.justsonline.info/conf
ttp://www.53.com.bankingportal.id593658460991.matgel.biz/conf
ttp://www.53.com.portal.busid163137.yourheter.biz/cbdir
ttp://www.53.com.portal.busid1164640.ezgor.biz/cbdir
ttp://www.53.com.bankingportal.id4044840271.qote4ud.biz/conf
ttp://www.53.com.bankingportal.id07021298613961.hotslive.biz/conf
ttp://www.53.com.bankingportal.id3041260779500.qote4ud.biz/conf
ttp://www.53.com.bankingportal.id29468995999076.hotslive.biz/conf
ttp://www.53.com.bankingportal.id29468995999076.hotslive.biz/conf
ttp://www.53.com.bankingportal.id4190573426.innme.info/conf
ttp://www.53.com.bankingportal.id94618501443673.matgel.biz/conf
ttp://www.53.com.bankingportal.id093656169529.qote4ud.biz/conf
ttp://www.volksbank.de.networld.onlineid8638724.justsonline.info/kunde.htm
ttp://www.53.com.portal.busid682827.justsonline.info/cbdir
ttp://www.53.com.portal.busid496215.yourheter.biz/cbdir
ttp://www.53.com.bankingportal.id7913953590145.gel2me.info/conf
ttp://www.53.com.bankingportal.id0377174203.qote4ud.biz/conf
ttp://www.53.com.bankingportal.id409577282.hotslive.biz/conf
ttp://www.53.com.bankingportal.id16068607931.matgel.biz/conf

トップページはUnder Constructionとなっています。

www.jobshaat.comのアドレスは67.18.15.162でアメリカ、逆引きは無し、サーバー応答はSonataServer 4.7.11rc1

ログイン画面

口座情報詐取画面

何度も見つかっているアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.portal.busid496215.yourheter.biz/cbdir
ttp://www.bankofamerica.com.onlinebankingid2224915.officials2you.info/session.cgi
ttp://www.53.com.portal.busid807616913.udhus.biz/cbdir
ttp://www.53.com.bankingportal.id7398321733.hotslive.biz/conf
ttp://www.bankofamerica.com.onlinebankingid3174047.hotslive.biz/session.cgi
ttp://www.53.com.portal.busid72270.matgel.biz/cbdir
ttp://www.53.com.bankingportal.id03728806707.algxi.biz/conf
ttp://www.bankofamerica.com.onlinebankingid7333569.officials2you.info/session.cgi
ttp://www.53.com.bankingportal.id8037199610.officials2you.info/conf
ttp://www.53.com.bankingportal.id25964478701.qote4ud.biz/conf
ttp://www.53.com.bankingportal.id9873814971702.justsonline.info/conf
ttp://www.53.com.bankingportal.id18931537.gel2me.info/conf
ttp://www.53.com.bankingportal.id34743358567485.hotslive.biz/conf
ttp://www.53.com.bankingportal.id7597778596.qote4ud.biz/conf
ttp://www.53.com.bankingportal.id8113867.justsonline.info/conf
ttp://www.53.com.bankingportal.id11635791.hotslive.biz/conf
ttp://www.53.com.bankingportal.id99681213.hotslive.biz/conf
ttp://www.53.com.bankingportal.id27733383903.justsonline.info/conf
ttp://www.53.com.bankingportal.id72005906338471.officials2you.info/conf
ttp://www.53.com.bankingportal.id513974616.qote4ud.info/conf
ttp://www.53.com.bankingportal.id101440382731.algxi.biz/conf
ttp://www.53.com.bankingportal.id6716251.justsonline.info/conf
ttp://www.53.com.bankingportal.id0297760096.udhus.biz/conf
ttp://www.bankofamerica.com.onlinebankingid249378517.justsonline.info/session.cgi
ttp://www.volksbank.de.networld.onlineid647574503.ezgor.biz/kunde.htm
ttp://www.bankofamerica.com.onlinebankingid61357379.officials2you.info/session.cgi
ttp://www.deutsche-bank.de.pbcank_id054728.justsonline.info/kunden
ttp://www.53.com.bankingportal.id9857494274.algxi.biz/conf
ttp://www.53.com.bankingportal.id7942670851783.justsonline.info/conf
ttp://www.53.com.bankingportal.id7452065263.qote4ud.biz/conf
ttp://www.53.com.portal.busid29802.innme.info/cbdir
ttp://www.53.com.bankingportal.id8485126.officials2you.info/conf
ttp://www.53.com.bankingportal.id928983348850.innme.info/conf
ttp://www.53.com.bankingportal.id281681683.algxi.biz/conf
ttp://www.53.com.portal.busid48680.algxi.biz/cbdir
ttp://www.53.com.portal.busid572083086.qote4ud.biz/cbdir
ttp://www.53.com.portal.busid587912975.justsonline.info/cbdir
ttp://www.bankofamerica.com.onlinebankingid890289790.hotslive.biz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid1005333970.algxi.biz/session.cgi
ttp://www.bankofamerica.com.onlinebankingid7412661.officials2you.info/session.cgi
ttp://www.bankofamerica.com.onlinebankingid086349169.officials2you.info/session.cgi
ttp://www.bankofamerica.com.onlinebankingid09222777.officials2you.info/session.cgi
ttp://www.53.com.bankingportal.id4688502720272.algxi.biz/conf
ttp://www.53.com.bankingportal.id4352497.udhus.biz/conf
ttp://www.53.com.bankingportal.id20729809.hotslive.biz/conf
ttp://www.53.com.bankingportal.id4771069.officials2you.info/conf
ttp://www.53.com.bankingportal.id86615249.gel2me.info/conf
ttp://www.53.com.bankingportal.id1525293970.matgel.biz/conf
ttp://www.53.com.bankingportal.id0822654106.justsonline.info/conf
ttp://www.volksbank.de.networld.onlineid8638724.justsonline.info/kunde.htm
ttp://www.53.com.portal.busid21605.yourheter.biz/cbdir
ttp://www.53.com.portal.busid428140663.qote4ud.info/cbdir

googleのリダイレクタを使ってttp://24.231.244.22/に飛ばされます。

トップページはディレクトリ丸見えでwww.paypal.comというディレクトリだけ見えます。

アドレス24.231.244.22はアメリカ、逆引きは24-231-244-22.static.aldl.mi.charter.com、サーバー応答はApache/2.0.55 (Win32)

ログイン画面

認証しているふりの画面

口座情報詐取画面

何度も見つかっているアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.bankingportal.id821664791.honis.jp/conf
ttp://www.53.com.bankingportal.id70011656.officials2you.info/conf
ttp://www.53.com.portal.busid273740794.yourheter.biz/cbdir
ttp://www.53.com.bankingportal.id5668469.hotslive.biz/conf
ttp://www.53.com.bankingportal.id403372470.justsonline.info/conf
ttp://www.53.com.bankingportal.id735922967899.algxi.biz/conf
ttp://www.53.com.bankingportal.id2963648.algxi.biz/conf
ttp://www.53.com.bankingportal.id2610349.algxi.biz/conf
ttp://www.53.com.bankingportal.id7361868637492.algxi.biz/conf
ttp://www.bankofamerica.com.onlinebankingid240831965.algxi.biz/session.cgi
ttp://www.53.com.bankingportal.id842054696.algxi.biz/conf
ttp://www.53.com.bankingportal.id69553805.algxi.biz/conf
ttp://www.volksbank.de.networld.onlineid447260.officials2you.info/kunde.htm
ttp://www.53.com.bankingportal.id20110225096431.algxi.biz/conf
ttp://www.53.com.bankingportal.id16925128310.algxi.biz/conf
ttp://www.bankofamerica.com.onlinebankingid7499908.officials2you.info/session.cgi
ttp://www.53.com.bankingportal.id208423682811.officials2you.info/conf
ttp://www.bankofamerica.com.onlinebankingid9328258135.officials2you.info/session.cgi
ttp://www.53.com.bankingportal.id137364652.officials2you.info/conf

アドレス引けず
ttp://www.53.com.bankingportal.id48696403.lrland.biz/conf
ttp://www.53.com.bankingportal.id46498634753.inglk.biz/conf
ttp://www.53.com.bankingportal.id9037414.inglk.biz/conf
ttp://www.53.com.bankingportal.id0092193.hotglk.biz/conf

下と同じspam中にあります。下のURLはフェイントなのかもしれません。

トップページはMRTG Index Pageとなっています。

ログイン画面
ソースにはvelcotashop＠yahoo.comの記載があります。ここに送られるものと思われます。

Not Foundです。

アドレス211.147.3.133は中国、逆引き無し、サーバー応答は以下
Server: Apache/1.3.20 (Unix) (Red-Hat/Linux) mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01

ClamAVでHTML.Phishing.Auction-202と検知されています。

googleのリダイレクタを使ってttp://www.joshturner.com/に飛びます。トップページはJosh Turnerという歌手のホームページです。

www.joshturner.comのアドレスは66.113.130.167でアメリカ、逆引きはlsh168.siteprotect.com、サーバー応答はApache/1.3.37 (Unix) mod_tsunami/3.0 FrontPage/5.0.2.2634

ログイン画面

カード情報詐取画面
ソースにnitrous_mariano＠yahoo.comがあるので詐取された情報はここに送られるようです

昨日見つかったアドレスです。

詐欺の手口と画面はリファレンス1 [ゾンビPC詐欺]を参照。

このうち実際に到着した詐欺メールにあったものは以下(到着順は上から下）
ttp://www.53.com.bankingportal.id04459563.honis.jp/conf
ttp://www.53.com.bankingportal.id75733504126.hotglk.biz/conf
ttp://www.53.com.bankingportal.id4878971894.algxi.biz/conf
ttp://www.53.com.bankingportal.id4858226778.ezgor.biz/conf
ttp://www.53.com.portal.busid911775.inglk.biz/cbdir
ttp://www.volksbank.de.networld.onlineid6950560.goglk.biz/kunde.htm
ttp://www.53.com.bankingportal.id88475774844495.ezgor.biz/conf
ttp://www.53.com.bankingportal.id61364992.ezgor.biz/conf
ttp://www.53.com.bankingportal.id85504762223304.goglk.biz/conf
ttp://www.volksbank.de.networld.onlineid146108.honis.jp/kunde.htm
ttp://www.deutsche-bank.de.pbcank_id42664.ezgor.biz/kunden
ttp://www.53.com.portal.busid44710.algxi.biz/cbdir
ttp://www.53.com.bankingportal.id8063957225.officials2you.info/conf
ttp://www.53.com.bankingportal.id66814831217277.officials2you.info/conf
ttp://www.53.com.bankingportal.id1846781486.officials2you.info/conf
ttp://www.53.com.bankingportal.id8568952379.officials2you.info/conf
ttp://www.53.com.bankingportal.id7486357342.officials2you.info/conf
ttp://www.53.com.bankingportal.id70116206.algxi.biz/conf
ttp://www.53.com.bankingportal.id8460314547611.algxi.biz/conf
ttp://www.bankofamerica.com.onlinebankingid5890789.officials2you.info/session.cgi
ttp://www.53.com.portal.busid40827013.officials2you.info/cbdir
ttp://www.53.com.portal.busid40827013.officials2you.info/cbdir
ttp://www.53.com.bankingportal.id821664791.honis.jp/conf
ttp://www.53.com.bankingportal.id70011656.officials2you.info/conf
ttp://www.53.com.portal.busid273740794.yourheter.biz/cbdir
ttp://www.53.com.bankingportal.id15579616.algxi.biz/conf

アドレス引けず
ttp://www.53.com.bankingportal.id92037569455.orbad.biz/conf
ttp://www.53.com.bankingportal.id61489886.allroe.biz/conf
ttp://www.53.com.portal.busid78016611.glkpro.biz/cbdir
ttp://www.53.com.bankingportal.id52924604288236.glkpro.biz/conf
p://www.53.com.bankingportal.id48696403.lrland.biz/conf
ttp://www.53.com.bankingportal.id46498634753.inglk.biz/conf
ttp://www.53.com.bankingportal.id9037414.inglk.biz/conf

ClamAVでHTML.Phishing.Bank-362と検知されています。トップページはPHPTriad 2.2の初期画面。

ttp://0xd8.0xef.0x10.0x90/ のわかりやすい表記は ttp://216.239.16.144/ でアメリカ、逆引きはmdsl.702communications.com、サーバー応答はApache/1.3.23 (Win32)

アンケート画面、下部はカード情報詐取画面になっています

ClamAVでHTML.Phishing.Bank-213と検知されています

08:00時点ではNot Foundとなります。

bodegasalto.netのアドレスは64.92.107.2でアメリカ、逆引きは無し、サーバー応答はApache/1.3.34 (Unix)