アドレスは多数ありアメリカです。犯人がyahoo.comのビジネスサービスに加入して偽サイトを立ち上げています。

ドメインは2月6日に取得され期限は1年です。

paypal.comに通報しました。

ログイン画面です。何を入れても下の画面になります。

ここでもいろいろ入れたのですが次に進めません。ID（メールアドレス）とパスワードの詐取だけを狙っているのかもしれません。

またこいつです。

アドレス61.79.104.15は韓国で逆引きはありません。

サーバーの応答はApache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7a PHP/4.4.2 mod_perl/1.29 FrontPage/5.0.2.2510ですが前と同じで偽装です。

今回はtelnetの応答があるのでつないでみると以下となります。これからもWindowsであると判断できます。

Cache for Windows NT (Intel) 3.2.1 (Build 008U) Mon Mar 6 2000 19:43:15 EST
Node PACS Port: 218.45.239.250/53142

ゾンビPCあるいはクラックされたWindowsを使って詐欺をしています。今回のポートの使用状況は以下です。

PORT     STATE    SERVICE
23/tcp   open     telnet
103/tcp  open     gppitnp
105/tcp  open     csnet-ns
135/tcp  filtered msrpc
139/tcp  filtered netbios-ssn
180/tcp  open     ris
389/tcp  open     ldap
445/tcp  filtered microsoft-ds
680/tcp  open     unknown
780/tcp  open     wpgs
1026/tcp open     LSA-or-nterm
1030/tcp open     iad1
1503/tcp open     imtc-mcs
1720/tcp open     H.323/Q.931
3389/tcp open     ms-term-serv
4444/tcp filtered krb524
4899/tcp open     radmin

この調査結果をもとにttp://61.79.104.15:680/r1/e/とttp://61.79.104.15:780/r1/e/につないでみましたが同じ偽ページが表示されます。

アドレスバーが偽装されています。何を入れてもログインできます。

これもアドレスバーが偽装されています。カード番号詐取画面です。

ebay.comに通報しました。

下のcitibankの偽サイトの中に見つかったもう１つの偽ページです。こちらを宣伝するspamはまだきていません。

トップページにクラッカーのメッセージも見つかっているのでよってたかってクラックされているのかもしれません。

フィッシング用のファイルしか無いので最初から詐欺のためにサービスに加入しているという可能性もあります。

下のcitibankとともにfree.frのabuseに通報しました。

確認画面

ログインＩＤ詐取画面。

パスワード詐取画面。

個人情報詐取画面。全部空欄でボタンを押しても次の画面に進めます。

このあと本物のサイトに飛ばされます。

アドレスは212.27.63.109でフランスです。逆引きはperso109-g5.free.frです。

free.frは無料レンタルサーバーです。

トップページにはTh3_Spy Was Here th3spy@gmail.comというメッセージがあります。クラックされたサーバーに見られる置き土産です。

サーバーの応答はApache/ProXad [Feb 8 2006 13:16:52]です。

いきなり口座番号詐取画面です。窓が最大化して表示されます。（上部）

(下部）

ディレクトリ丸見えで、よく見るともう１つディレクトリがあります。

その中身。これをクリックするともう１つの詐欺ページが現れます。（上のbarclays.co.ukの偽サイト）