フィッシング詐欺サイト情報

February 19, 2006

● barclays.co.ukの偽サイト ttp://wow-band.net/zboard/admin_sendmail_o.php

ClamAVでHTML.Phishing.Pay-25と検知されています。

表題のURLにつなぐとttp://epdsn.com/img/geeklog.phpに飛ばされます。

それぞれの情報は以下です。どちらのサイトもクラックされています。

wow-band.net：
　211.189.18.214、逆引きなし、韓国
　サーバーの応答はPHP/4.3.11AnNyung

epdsn.com：
　66.235.203.186、逆引きhost220.ipowerweb.com、アメリカ
　サーバーの応答はApache/1.3.33 (Unix) mod_log_bytes/0.3 FrontPage/5.0.2.2635 PHP/4.4.1 mod_ssl/2.8.22 OpenSSL/0.9.7d

適当なＩＤでログインできます。

暗証番号詐取画面です。

これは本物のサイト。Firefoxでつなぐと正しいサイトに飛ばされます。ブラウザの種類を見て処理しているものと思われます。IEを使っているユーザーだけを詐欺の対象にしているようです。

● ebay.comの偽サイト ttp://202.59.129.122/icons/.x/signin.ebay.com.ws.ebayisapi.dl.signin.co.partnerid.2.puserid.siteid.0.pagetype.pa1.i1.bshowgi.usingssl.ru.http.3a.2f.2fwww.ebay.com.pp-pa2-errmsg/login.php

サイトはバングラディシュにあります。逆引きはありません。

トップページはRedHat/Apacheインストール直後の画面です。ディレクトリの名前から考えてクラックされたものです。

サーバーの応答はApache/2.0.52 (Red Hat)です。

適当なＩＤだと次の画面のようにエラーとなります。

これがソースですが裏で認証していることがわかります。

● ebay.comの偽サイト ttp://www.google.com/url?sa=p&pref=ig&pval=2&q=http://www.my-signin.com/MyEbay/eBayISAPI/dllSignIn_co_partnerId/signin-command/user/myebay/ws/SignIn.html

google.comのりダイレクトを使ってwww.my-signin.comに飛びます。ここに偽サイトがあります。

ttp://www.my-signin.com/ のトップページはNot Foundとなります。ドメインmy-signin.comが2月18日に取得され期限が1年であることとも考えて犯人自身が立ち上げたものと思われます。

www.my-signin.comのアドレスは217.76.132.43でスペイン、逆引きはflgb662.serveursdns.netです。serveursdns.netはレンタルサーバーだと思わるのですがttp://serveursdns.net/ でも ttp://www.serveursdns.net/ でもつながりません。レンタルサーバーだとするとちょっと無責任ですね。

サーバーの応答はApacheとだけ返ります。