ClamAVでHTML.Phishing.Bank-41と検知されています。

ttp://tepi.ru/a.htmlにつなぐと ttp://paypal.com.ws1-isapidll1.com/ に飛ばされ偽サイトが表示されます。

それぞれのIPアドレスと逆引き、それにサーバーの応答は以下です。

tepi.ru [212.12.13.8] クラックされた可能性
逆引き: ats-41-13-8.iola.tula.net
サーバーの応答: Apache/1.3.20 (Unix) (Red-Hat/Linux) PHP/4.0.6

paypal.com.ws1-isapidll1.com [200.93.202.19]　犯人が立ち上げている可能性。
逆引き: host-200-93-202-19.telconet.net
サーバーの応答: Apache/2.0.52 (CentOS)

ドメインws1-isapidll1.comは1月27日に取得され1年の期限です。普通こんなドメインはとらないですよね。

何を入れてもログインできます。

Go To My Accountボタンを押すと次の画面になります。

カード番号詐取画面です。

ClamAVでHTML.Phishing.Bank-60と検知されています。

逆引きは59-120-12-11.HINET-IP.hinet.netで台湾ですがトップページを見るとwww.pco-china.comの画面で確かにアドレスも一致するのでクラックされています。

サーバーの応答はApache/2.0.40 (Red Hat Linux)です。

何を入れてもログインできます。

過度番号詐取画面です。（上部）

（下部）

ClamAVでPhishing.Bank-41と検知されています。

Googleのリダイレクタを使ってttp://ppllderssl.com/ssl/cgi-bin/webscr/CheckSession.phpに飛ぶようになっています。

トップページも同じフィッシング画面なのでサーバー自体犯人によって開設されたものです。ドメインppllderssl.comも直前の2月2日に取得され期限は1年です。

アドレスは217.76.132.24でフランス、逆引きは flha502.serveursdns.netです。serveursdns.netはレンタルサーバーのようなのですがこのドメインを使ったウエブサイトが無くて逆引きをたよりに連絡をとることができません。無責任な会社です。このサービスを使った偽サイトは過去にも何回も発見されています。

サーバーの応答はApache (Unix) FrontPage mod_fastcgi mod_ssl/mod_ssl OpenSSLです。

何を入れてもログインできます。

確認ボタンを押すだけの画面です。

カード番号詐取画面です。

ClamAVでHTML.Phishing.Bank-1と検知されています。

この形式のURLは過去に何度も発見されています。

サイトには既につながらなくなっています。このアドレスは韓国で逆引きはありません。