フィッシング詐欺サイト情報
Yesterday: 
フィッシングサイトが立ち上がっていたそうでセキュリティホールについても言及されています。当スタッフが過去に調査した別の事例も参考になるかと思います。
● chase.comの偽サイト ttp://203.252.60.120/chase/onlineservices/?param=ShqAhS2AlBXVVRleHAlbaQqzlHhlWXAeM
サイトは韓国にあります。韓国には珍しく逆引きがありmickey.skku.ac.krです。
サーバーの応答は Apache/1.3.22 (Unix) (HancomLinux/Linux) mod_python/2.7.6 Python/1.5.2 mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.1.1 mod_perl/1.24_01 mod_throttle/3.1.2 です。
skku.ac.krに通報しました。逆引きがあるとこういうときにもいろいろ都合がいいですね。
追記:その後もう一通届いたときにはClamAVでHTML.Phishing.Bank-240と検知されていました。
サーバーの応答は Apache/1.3.22 (Unix) (HancomLinux/Linux) mod_python/2.7.6 Python/1.5.2 mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.1.1 mod_perl/1.24_01 mod_throttle/3.1.2 です。
skku.ac.krに通報しました。逆引きがあるとこういうときにもいろいろ都合がいいですね。
追記:その後もう一通届いたときにはClamAVでHTML.Phishing.Bank-240と検知されていました。
● commbank.com.auの偽サイト ttp://commonwealthbankupdate.com/netbank/bankmain.htm
ClamAVでHTML.Phishing.Bank-289と検知されています。
アドレスは210.219.122.3で韓国にあります。逆引きはありません。
ドメインcommonwealthbankupdate.comは取得したてなのでwhoisでは引けません。
21:40現在サイトは生きていますがポート80からの応答はありません。まだ準備中なのにフライングしてspamだけ送ったのかも。
ftpdの応答は WOWLiNUX Paran R2 Server ready と返ります。
追記:ブラウザを放置しておいたら下の画面になりました。
アドレスは210.219.122.3で韓国にあります。逆引きはありません。
ドメインcommonwealthbankupdate.comは取得したてなのでwhoisでは引けません。
21:40現在サイトは生きていますがポート80からの応答はありません。まだ準備中なのにフライングしてspamだけ送ったのかも。
ftpdの応答は WOWLiNUX Paran R2 Server ready と返ります。
追記:ブラウザを放置しておいたら下の画面になりました。
● visa.com の偽サイト ttp://www.visaeur.com/lostvisa/
アドレスは216.32.68.122でアメリカです。逆引きは122.68.32.216.reverse.layeredtech.comでレンタルサーバーです。ドメイン名から考えて犯人自身が加入して立ち上げたのでしょう。トップページはNot Foundとなることからも裏付けられます。
ドメインvisaeur.comは2月18日に1年の期限で取得されています。2月23日にDNSにアドレスを登録したようですがまだ伝搬しきっていません。
サーバーの応答はApache/1.3.34 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.4.1 FrontPage/5.0.2.2635 mod_ssl/2.8.25 OpenSSL/0.9.7e PHP-CGI/0.1bです。
layeredtech.comのabuseに通報しました。
追記:どうもDNSの設定がおかしいらしくいつまでたってもアドレスを引けません。続々spamが来ているのですが被害は発生しそうにありません。どうしても見たい方は /etc/hosts にこのアドレスを追加してください。
ドメインvisaeur.comは2月18日に1年の期限で取得されています。2月23日にDNSにアドレスを登録したようですがまだ伝搬しきっていません。
サーバーの応答はApache/1.3.34 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.4.1 FrontPage/5.0.2.2635 mod_ssl/2.8.25 OpenSSL/0.9.7e PHP-CGI/0.1bです。
layeredtech.comのabuseに通報しました。
追記:どうもDNSの設定がおかしいらしくいつまでたってもアドレスを引けません。続々spamが来ているのですが被害は発生しそうにありません。どうしても見たい方は /etc/hosts にこのアドレスを追加してください。
● paypal.com の偽サイト ttp://scratchy.nildram.co.uk/~active8/.us/.paypal.com/cgi-bin/webscr/cmd_login/128bit_ssl-secure_account-verify/index.htm
ClamAVでHTML.Phishing.Pay-25と検知されています。
scratchy.nildram.co.ukのアドレスは195.112.4.26でイギリスです。逆引きも同じなのでディレクトリがドットで始まることからも考えてクラックされたサーバーです。
サーバーの応答はApache/1.3.27 (Unix) PHP/4.3.11 mod_perl/1.27 mod_ssl/2.8.14 OpenSSL/0.9.6g です。paypal.comに通報しました。
scratchy.nildram.co.ukのアドレスは195.112.4.26でイギリスです。逆引きも同じなのでディレクトリがドットで始まることからも考えてクラックされたサーバーです。
サーバーの応答はApache/1.3.27 (Unix) PHP/4.3.11 mod_perl/1.27 mod_ssl/2.8.14 OpenSSL/0.9.6g です。paypal.comに通報しました。
● paypal.com の偽サイト ttp://www.w-user.com/us/paypal.com/cgi-bin/webscr/login.php
ClamAVでHTML.Phishing.Pay-16およびHTML.Phishing.Bank-41と検知されています。
アドレスは217.76.132.43でオランダです。逆引きはflgb662.serveursdns.netです。レンタルサーバーですね。
ドメインは本日取得したばかりでwhoisでは検索できません。トップページがNot Foundとなることと会わせて考えると犯人自身がレンラルサーバーに加入したものでしょう。
サーバーの応答はApacheとだけ返ります。paypal.comに通報しました。
アドレスは217.76.132.43でオランダです。逆引きはflgb662.serveursdns.netです。レンタルサーバーですね。
ドメインは本日取得したばかりでwhoisでは検索できません。トップページがNot Foundとなることと会わせて考えると犯人自身がレンラルサーバーに加入したものでしょう。
サーバーの応答はApacheとだけ返ります。paypal.comに通報しました。
● paypal.com の偽サイト ttp://anabasissolutions.com/admin/update/cgi-bin/webscrcmd_login.php
ClamAVでHTML.Phishing.Auction-28と検知されています。
アドレスは66.70.201.245でアメリカにあります。逆引きは同じanabasissolutions.comです。
トップページはインターネット関連企業のページなのでクラックされています。
サーバーの応答はApache、PHP/4.2.3です。anabasissolutions.comに通報しました。
アドレスは66.70.201.245でアメリカにあります。逆引きは同じanabasissolutions.comです。
トップページはインターネット関連企業のページなのでクラックされています。
サーバーの応答はApache、PHP/4.2.3です。anabasissolutions.comに通報しました。
— posted by staff @ 10:20PM
| TrackBack(0)
