ClamAVでHTML.Phishing.Bank-1と検知されています。過去にも同じ犯人と思われる事例があります。前と同じように別ポート ttp://211.171.0.150:680/r1/e/ とか ttp://211.171.0.150:780/r1/e/ とかしても同じ画面が見えます。

このアドレスは韓国で逆引きはありません。

ポート80のトップページには韓国語のページが見えるのでクラックされています。

port 80 の応答は AApache/1.3.33 (Win32) PHP/4.4.1、
port 180 の応答は Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7a PHP/4.4.2 mod_perl/1.29 FrontPage/5.0.2.2510
なのでUnixを偽装しています。

何を入れてもログインできます。

カード番号詐取画面です。

ttp://crjgroup.com/ のトップページにつなぐと .wmf ファイルがダウンロードされるので注意。XMLファイルのゼロデイアタックのファイルでClamAVによるとExploit.WMF.Aと検出されています。

crjgroup.comのアドレスは66.98.168.75でアメリカ、逆引きはw19-0.dnslinks.netです。サーバーの応答はApache/1.3.29 (Unix) FrontPage/5.0.2.2634です。ドメイン取得は2002年なのでクラックされたものと思われます。

ttp://crjgroup.com/ のトップページにつないでみるとttp://wakayama-info.net/board/images/grntldr1.html からxpl1.wmfというファイルがダウロードされるようになっています。そのあと ttp://www.crjewelers.com/index.html に転送され宝石販売サイトが表示されます。www.crjewelers.comのアドレスは209.104.132.68です。

wakayama-info.net[216.193.201.53]についてはおそらくクラックされてウイルスを仕掛けられたのでしょう。サーバーの応答はApache/1.3.29 (Unix) FrontPage/5.0.2.2623です。管理者に連絡しました。

口座番号詐取画面です。

暗証番号詐取画面です。

終わるとしばらくこの画面が出たあと本物のサイトに飛ばされます。

本件は通報されたものです。しかるべき連絡先にも通報していただいたそうでありがとうございました。

アドレスバーが偽装されています。

ClamAVではHTML.Phishing.Pay-1として検知されています。以下説明する特徴から昨日発見されたものと同じ偽ページ、犯人です。

アドレス211.233.62.83は韓国です。逆引きはありません。トップページを見ると写真とかいった別のコンテンツがあるのでサーバーがクラックされています。

サーバーの応答はApache/2.0.54 (Unix) PHP/5.0.4です。一応meridiankorea.comに通報しました。韓国の場合通報に応答してくれて排除されたこと無いんですけどね。

移動したというメッセージが出ます。

窓が最大化してアドレスバーが偽装された偽サイトが表示されます。日本語ブラウザでも正しい位置に表示され一見して本物と勘違いしますがIEであれば新規窓を開くと同じ画面が表示されますがアドレスバーのところがずれて表示され偽装がばればれになります。https:// となっているのに鍵アイコンが無いのも偽サイトを見破るヒントです。

認証しているふりの画面が出ます。

カード番号詐取画面です。