フィッシング詐欺サイト情報
Yesterday: 
サイトはモーリシャスにあると思われます。逆引きはb4gvs1.onsite.hosting.co.zaです。
トップページはゴルフの予約サイトのページなのでクラックされています。
サーバーの応答はMicrosoft-IIS/6.0です。hosting.co.zaのabuseに通報しました。
トップページはゴルフの予約サイトのページなのでクラックされています。
サーバーの応答はMicrosoft-IIS/6.0です。hosting.co.zaのabuseに通報しました。
● ebay.comの偽サイト ttp://210.101.192.9/UpdateCenter/Login/?MfcISAPISession=DAAJbaQqzeHAAeMWZlHhlWXS2AlBXVShqAhQRfhgTDrferHCURstpARXfisNfgpAisNRqAhQRfhgTDrferHCUQdfgfqzeHAfdeMWZlHhlWXh
ClamAVでHTML.Phishing.Auction-27として検知されていますがサイトはすでに消されています。
このアドレスで検索すると過去にもクラックされています。
サーバーの応答はPHP/4.3.1HancomLinuxとなります。
このアドレスで検索すると過去にもクラックされています。
サーバーの応答はPHP/4.3.1HancomLinuxとなります。
● comerica.comの偽サイト ttp://www.ntl-cmra.net/Comerica/auth/4875761A-71CB-421e-A243-B209F499C0F9.htm
ClamAVでHTML.Phishing.Pay-16として検知されています。
ゾンビPCを使ったフィッシングです。
アドレスは複数あります。
24.14.251.172 c-24-14-251-172.hsd1.il.comcast.net
24.160.142.96 cpe-24-160-142-96.satx.res.rr.com
67.167.36.157 c-67-167-36-157.hsd1.il.comcast.net
69.133.85.241 cpe-69-133-85-241.twmi.res.rr.com
サーバーの応答は全部同じ Apache/2.0.55 (Debian) PHP/4.4.0-4 ですが偽装でWindowsです。
ドメインntl-cmra.netは2月20日に取得され1年の期限なので犯人自身が取得したものです。ゾンビPCを使った詐欺は例外無く自分の取得したドメインでやっています。
DNSはns1.beene66.comとns2.seadorfam.comでどちらのアドレスも24.14.251.172 で逆引きはc-24-14-251-172.hsd1.il.comcast.net 、やはりクラックされたWindowsです。
現時点(19:00)では上に示すアドレス関係ですが時間が経つにしたがって別のアドレスになるはずです。
ゾンビPCを使ったフィッシングです。
アドレスは複数あります。
24.14.251.172 c-24-14-251-172.hsd1.il.comcast.net
24.160.142.96 cpe-24-160-142-96.satx.res.rr.com
67.167.36.157 c-67-167-36-157.hsd1.il.comcast.net
69.133.85.241 cpe-69-133-85-241.twmi.res.rr.com
サーバーの応答は全部同じ Apache/2.0.55 (Debian) PHP/4.4.0-4 ですが偽装でWindowsです。
ドメインntl-cmra.netは2月20日に取得され1年の期限なので犯人自身が取得したものです。ゾンビPCを使った詐欺は例外無く自分の取得したドメインでやっています。
DNSはns1.beene66.comとns2.seadorfam.comでどちらのアドレスも24.14.251.172 で逆引きはc-24-14-251-172.hsd1.il.comcast.net 、やはりクラックされたWindowsです。
現時点(19:00)では上に示すアドレス関係ですが時間が経つにしたがって別のアドレスになるはずです。
● paypal.comの偽サイト ttp://www-paypal-com.ctrav.com/confirm
ClamAVでHTML.Phishing.Pay-6として検知されています。
www-paypal-com.ctrav.comのアドレスは70.88.16.42でアメリカです。逆引きは70-88-16-42-chattanooga-tn.hfc.comcastbusiness.netです。
トップページはApacheインストール直後の画面です。
サーバーの応答はApache/2.0.55 (Win32) PHP/4.4.1です。
www-paypal-com.ctrav.comのアドレスは70.88.16.42でアメリカです。逆引きは70-88-16-42-chattanooga-tn.hfc.comcastbusiness.netです。
トップページはApacheインストール直後の画面です。
サーバーの応答はApache/2.0.55 (Win32) PHP/4.4.1です。
● bankone.comの偽サイト ttp://bankone.com.pakuanraya.com/bank/BolLogin.php?nav=LoginPage&catclass
アドレスは203.130.242.75でこれも下のwellsfargo.comの詐欺と同じサーバーに偽サイトが立ち上がっています。
トップページにつないでも詐欺ページとなります。
トップページにつないでも詐欺ページとなります。
● ebay.comの偽サイト ttp://confirm.ebay.com.atreon.biz/.ws/eBayISAPI.dll.htm?SignIn&co_partnerId=2&pUserId=&siteid=0&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisitou=&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&favoritenav=&migrateVisito
アドレスは203.130.242.75で下のwellsfargo.comの詐欺と同じサーバーに偽サイトが立ち上がっています。
トップページにつないでも同じ偽ページが見えます。しばらくしてClamAVでHTML.Phishing.Bank-49として検知されるようになりました。
トップページにつないでも同じ偽ページが見えます。しばらくしてClamAVでHTML.Phishing.Bank-49として検知されるようになりました。
● wellsfargo.comの偽サイト ttp://wellsfargo.com.fpcgi.wfonline.lemdiklat.com/account/cgi_bin/mn1_cb1_on/signon_LOB_CONS.htm?code=_Qghjasuy87w6husaf8yauy87w6hu35auoa
詐欺メールが届いたときにはページは消えていました。
アドレスは203.130.242.75でインドネシア、逆引きは75.slipi-4.colocation.telkom.net.idです。ClamAVでHTML.Phishing.Pay-25と検知されています。
現在のサーバーの応答はApache/1.3.33 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.3.11 FrontPage/5.0.2.2635 mod_ssl/2.8.22 OpenSSL/0.9.7aです。
アドレスは203.130.242.75でインドネシア、逆引きは75.slipi-4.colocation.telkom.net.idです。ClamAVでHTML.Phishing.Pay-25と検知されています。
現在のサーバーの応答はApache/1.3.33 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.3.11 FrontPage/5.0.2.2635 mod_ssl/2.8.22 OpenSSL/0.9.7aです。
— posted by staff @ 06:45PM
| TrackBack(0)
