サイトはアメリカにあります。逆引きはありません。

ポート80のトップページはテスト中のような検索画面なのでクラックされたようです。

サーバーの応答はポート80がMicrosoft-IIS/5.0で、ポート81がApache/2.0.55 (Win32) PHP/4.4.1でいずれもWindowsですね。

paypal.comに通報しました。

IDとパスワードを入れても先に進めません。裏で認証しているのかIDとパスワードだけを詐取するのか。

エラー画面です。

ClamAVでHTML.Phishing.Pay-17と検知されています。

アドレスバーが偽装されています。IEでは一旦ブックマークして再度そこから開くとずれて見えます。

アドレスは66.244.251.19でアメリカです。逆引きはタイムアウトで取得できません。

ドメインphisatgrosolan.comは2月18日取得で期限が1年です。トップページがレンタルサーバーの初期画面のようなので犯人がドメインを取得して加入した可能性があります。

サーバーの応答はApache/1.3.26 (Unix) mod_ssl/2.8.10 OpenSSL/0.9.7dです。フォームからpaypal.comとレンタルサーバーのnetfirms.comに通報しました。

このページは移転したとなります。このあとの画面からアドレスバーが偽装されます。

アドレスバーが偽装されています。最大化した別の窓が開きログインさせます。何をいれてもログインできます。

瞬間、認証しているふりの画面が出ます。

カード番号詐取画面です。

追記：
netfirms.comから「Thank you サイトは消した」と返事がありました。

サイトはダウンしています。アドレス221.255.127.2は日本です。08:10時点で逆引きは引けません。

追記：
11:45になって再度やったらつながりました。気が付いて停止したのではなかったわけです。

サーバーの応答はApache/1.3.34 (Unix)です。

この会社のウエブページにあるフォームと電話で通報しました。電話は留守録でしたけど。

htmlソースを調べると外にあるフォーム ttp://cgi.business.allstream.net/cgi-bin/nbcmailform method=post を使ってIDとパスワードをyahoo.comのteduser019@というメールアドレスに送るようになっています。フォームを置いてあるallstream.netのabuseにも通報しました。

送り先アドレスを自由に指定できるCGIはこのように犯罪にも使われるし、spam発信の手段にもされるので使わない・作らないようにしましょう。

ディレクトリ丸見えなので調べてみるとこのフィッシングはたった1つのファイルで行っています。詐取したデータは上で書いたように別のサイトのフォームメールを使って送っています。

さらに追記：月曜日16:20になってもまだページがあるので警視庁にフォームから通報しました。

アドレスが引けずつながりません。

DNSのホスト名から考えて犯人自身がyahoo.comのビジネスサービスに加入して立ち上げていたものです。

ドメインcgi-signin-welcome-users-ws.comは2月10日に取得され期限が1年です。