フィッシング詐欺サイト情報
Yesterday: 
アドレスは198.173.4.9でアメリカにあります。フリーのホスティングサービスを使ってサイトを立ち上げていますがお馬鹿さんなことに上部にその宣伝が出ていてpaypalとは似つかない画面構成となっています。見よう見真似で作ったらしくカード情報以外のリンク部分はクリックしても動作しません。paypalとsiteburgに通報しました。
● comerica.comの偽サイト ttp://www.comerica-banking.com:6180/login/index.php?vpk=mBbzAoccnBjCTdKydjOFlFYAvjydFOnTpptPGvTVXexPtiokueQHIOhfaGtFvxzLNRDumwpjBNbJXpVquMYeDgjDLtttQHUFAxaMUpYweZgcocuJOtOtzZWltfvjLpOmNPaIgYgkXmmmoTXfbMyAMuMgziplzgzmWAXdzdnxpCJGjTKkvjLtEAneIFqiKQwTruKQxZnMCZtLHfYcoJkUkAZUfqdQtAzAUkrrkGfMFzAmFyoViBOubOohgrYoTyONIhgUNlHuLtHqGXlPycjzQAHXRF&eml=XXX_XX@XXX_XX.com&lLdcAMjGH=ZTotFx
これも下と同じ犯人です。spamが届いた時点でアドレスはDNSから消えていました。この spam もポーランドの 225-m.sm-rozstaje.pl から送られてきました。この spam の宛先は直下の spam と同じドメインの別のアドレスです。
● comerica.comの偽サイト ttp://online.comerica-banking.com:6180/login/index.php?JwgIV=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!VfNJzeAXvXwfCTTtTTuklCWUKrpTJeTFiToILPGtNdnpXWIFEeQQHMKtgbbQgVwpDLapDGyrILTGIrln&eml=XXX_XX@XXX_XX.com&=xdfeQPy
これも下と同じ犯人です。spamが届いた時点でアドレスはDNSから消えていました。この spam はポーランドの 225-m.sm-rozstaje.pl から送られてきました。
● comerica.comの偽サイト ttp://online-bank.comerica-banking.com:6180/login/index.php?RvRoZmA=UlKZgEGgcKiuAYcqwreKtgfXZBPnBdNwpAwwfdChNKBoIEHgWLReTYcRzThaWWwmwTJCWmIKYkaTOTOLvTQnGThfLogIlCXIwHkrUUdTfeCULqHtZywGrEKfUQNguLOPtatmUkhapIVcbCjaaHGtlrygjmmEZcvrdEGXOMYfwTtxwtywbfOnynvTBTlAKTRNlyLclJtTEpgaJFxLJmaiBvQceeCOLvDYTpagatNEzVFjAcWkoXuPtkRxpvmcPQbJhbPhjFLJAqUbuQ&eml=XXX@XXX_XX.co.jp&lIO=HAtTtGiN
下と同じ犯人です。spamが届いた時点でアドレスはDNSから消えていました。こちらのspamは ip.85.202.146.170.dyn.pool-3.broadband.voliacable.com から送られました。
● comerica.comの偽サイト ttp://customer.comerica-banking.com:6180/login/index.php?ZxHpI=xDjQzhtEcXfVDNDjEbNnExtzTTypoOZLtjETqLytIDomqTxVUljyIEXClwTClRoFdTyuGWNoAeCRXaNQlYpVCmyOIqrWjTBmBaThWxxxBaoyadpmcGiFUHvEYMAtvcwXcefZBCwdDKBEORQQzbxuTRYHFzPbBlZEqeDRHZVkKxOApHrPTOjqHiYmINojbnNrtrkbqhlcEcDVIWKqKVTtfHHNwWZxkNPFgbHxiTANVdIFZuXKpGfvmLjIIihVXYAdahAibbXWfGCfbzPrfVMrHXcqhjleiLhiUTrVIpROWuUYUJpZGerncvFiGQnOEvYzeqvNHmDETxDDtTCOXUeapIiWBxKgTJFYbbMIopnXNQAXJdMTYQTnBRjcpWijGOtTPVqflFdbwEZhHLPGDyUeqfhHcpRIgaqWWIcingkKJjTrWIYAtTEzZLhbcZKiacgXKtgaoqLZCFryoqYxkDXjoelreXBeaTbLQtMgzzgbfyAuPzRbcOlrUzKZwldxVfiLmWRMwYOCxpXmOOoRFBkAaWzxiDUeTePWbTJxHzZeOWrFLTxrjIRjFrTNVDRETTAIqjhYJhdAewgPeDinlbzRttGoKyTugudyF&eml=XXX_XX@XXX_XX.com&jwor=zP
矢鱈長いURLですが最後のところにメールアドレスが入っています。もとの画面には本物のwww.comerica.comが表示され、それ以外に1つアドレスバーの無い別窓が開いてそのメールアドレスがプリセットされた状態の口座情報入力画面が出ます。偽画面のURLは ttp://customer.comerica-banking.com:6180/login/indexxx.phpです。アドレスは211.99.66.5で中国、逆引きはありません。ポート6180のトップページにつなぐとまたミススペルのHost worgとなります。ttp://211.99.66.5/ としてつなぐと前と同じ赤いテスト画面。このサーバーは何回もアドレスを変更して詐欺に使っているようでトップページには211.167.92.31および202.106.196.11という記述があります。このアドレスは本サイトのデータベースにはありません。ポート6180を使っていることも考えるとまた同じ犯人の仕業でしょう。comerica-banking.comのドメインはアメリカ人名義で1年、DNSはまたus2k.netが使われています。comerica.comのフォームから通報しました。spamは数10通来ていて全部がc-24-19-150-50.client.comcast.netから発信されています。ゾンビというより実際にそこに犯人がいて送っているような気がします。
comericaはe-mailでは絶対に個人情報を問い合わせないとのことです。よく銀行の連絡にありますよね「当行はお客様に認証番号を聞くことはありません」というようなの。どこまでインターネットでやるかの取り決めがあるといいかもしれませんね。
● ebay.comの偽サイト ttp://62.193.217.91/
comericaはe-mailでは絶対に個人情報を問い合わせないとのことです。よく銀行の連絡にありますよね「当行はお客様に認証番号を聞くことはありません」というようなの。どこまでインターネットでやるかの取り決めがあるといいかもしれませんね。
サイトはフランスにあり逆引きは登録されていません。アドレスは前に観察されたレンタルサーバー業者のamen.fr管轄です。OSはFedora Core(Linux)です。トップページにあることを考えると犯人自身によって立ち上げられたサーバーでしょう。amen.frはfraud@とspoof@とabuse@に出したのですがabuse@だけ届きました。
— posted by staff @ 09:09AM
| TrackBack(0)
