フィッシング詐欺サイト情報
Yesterday: 
アドレスは203.185.14.110で香港、逆引きは同じです。
ttp://203.185.14.110/ としてみると企業のサイトが見えます。
サーバーの応答はポート80がMicrosoft-IIS/5.0、ポート84がApache/1.3.23 (Win32)です。WindowsがクラックされてWindows版Apacheをインストールされています。
cyota.comに通報しました。
ttp://203.185.14.110/ としてみると企業のサイトが見えます。
サーバーの応答はポート80がMicrosoft-IIS/5.0、ポート84がApache/1.3.23 (Win32)です。WindowsがクラックされてWindows版Apacheをインストールされています。
cyota.comに通報しました。
● chase.comの偽サイト ttp://dime120.dizinc.com/~ctbkus/images/Security-Center/www.chase.com/login-run/UsingSsl/prdata/userprofile/custserv/chase/BankTag/security/Chase-Manhattan.us/
ClamAVでHTML.Phishing.Bank-362と検知されています。
dime120.dizinc.comのアドレスは72.29.90.35でアメリカ、逆引きは同じです。
トップページを見るとcPanelの画面です。ドメイン取得の時期が古いのでクラックされたのか、犯人がレンタルサーバーに加入して開設したのかのどちらかです。
サーバーの応答は以下です。
Apache/1.3.34 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_ssl/2.8.25 OpenSSL/0.9.7a PHP-CGI/0.1b
dime120.dizinc.comのアドレスは72.29.90.35でアメリカ、逆引きは同じです。
トップページを見るとcPanelの画面です。ドメイン取得の時期が古いのでクラックされたのか、犯人がレンタルサーバーに加入して開設したのかのどちらかです。
サーバーの応答は以下です。
Apache/1.3.34 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 FrontPage/5.0.2.2635 mod_ssl/2.8.25 OpenSSL/0.9.7a PHP-CGI/0.1b
● paypal.comの偽サイト ttp://202.153.247.27:81/paypal/index.html
つなぐと ttp://83.209.54.195/.paypal-sk/update-paypal/cgi-bin/secure/login/login.html に転送されます。
202.153.247.27について
インドで逆引きは無し
サーバーの応答はポート80がApache/2.0.54 (Fedora)、ポート81がApache/1.3.34 (Unix) PHP/5.1.2 mod_ssl/2.8.25 OpenSSL/0.9.8a
レンタルサーバーがクラックされている模様
83.209.54.195について
スエーデンで逆引き無し
サーバーの応答はApache/2.0.52 (CentOS)
何かのサイトがクラックされています
paypal.comに通報しました。
202.153.247.27について
インドで逆引きは無し
サーバーの応答はポート80がApache/2.0.54 (Fedora)、ポート81がApache/1.3.34 (Unix) PHP/5.1.2 mod_ssl/2.8.25 OpenSSL/0.9.8a
レンタルサーバーがクラックされている模様
83.209.54.195について
スエーデンで逆引き無し
サーバーの応答はApache/2.0.52 (CentOS)
何かのサイトがクラックされています
paypal.comに通報しました。
● ebay.comの偽サイト ttp://chemistry.cas.vanderbilt.edu/secure/index.html
詐欺メールの内容は未払いのオークションがあるので7日以内にここから連絡しろというものです。
chemistry.cas.vanderbilt.eduのアドレスは129.59.118.58でアメリカ、逆引きは同じです。もちろんクラックされています。
サーバーの応答はApache/1.3.33 (Darwin) mod_ssl/2.8.24 OpenSSL/0.9.7i PHP/4.3.11です。
ebay.comに通報しました。
chemistry.cas.vanderbilt.eduのアドレスは129.59.118.58でアメリカ、逆引きは同じです。もちろんクラックされています。
サーバーの応答はApache/1.3.33 (Darwin) mod_ssl/2.8.24 OpenSSL/0.9.7i PHP/4.3.11です。
ebay.comに通報しました。
● paypal.comの偽サイト ttp://www.aol.com/redir.adp?_e_t=ap&_a_v=2.0&_a_i=100124311x1086183574x1075852653&_url=http://www.cliffrichard.co.kr/zboard/pp/cgi-bin/webscr/cmd=_login/paypal-security/index.htm
コンテンツがあるサイトは以下です。クラックされています。
ttp://www.cliffrichard.co.kr/zboard/pp/cgi-bin/webscr/cmd=_login/paypal-security/index.htm
www.cliffrichard.co.krのアドレスは211.202.2.67で韓国です。韓国には珍しく逆引きがあって、web-67.blueweb.co.krです。
サーバーの応答はApache/x.x.x (Unix) mod_throttle/3.1.2 PHP/4.4.2です。paypal.comに通報しました。
本件は通報されたものです。ありがとうございました。
ttp://www.cliffrichard.co.kr/zboard/pp/cgi-bin/webscr/cmd=_login/paypal-security/index.htm
www.cliffrichard.co.krのアドレスは211.202.2.67で韓国です。韓国には珍しく逆引きがあって、web-67.blueweb.co.krです。
サーバーの応答はApache/x.x.x (Unix) mod_throttle/3.1.2 PHP/4.4.2です。paypal.comに通報しました。
本件は通報されたものです。ありがとうございました。
● chase.comの偽サイト ttp://www.elijoe.com/webauth/index.htm
ClamAVでHTML.Phishing.Pay-16と検知されています。
www.elijoe.comのアドレスは以下のように複数あります。
82.226.184.84 == gar31-2-82-226-184-84.fbx.proxad.net
24.127.241.183 == c-24-127-241-183.hsd1.fl.comcast.net
67.187.163.95 == c-67-187-163-95.hsd1.ca.comcast.net
70.149.41.168 == adsl-149-41-168.mia.bellsouth.net
多くのADSL/CATV回線を使っているのはゾンビPCを使ったフィッシングの特徴です。
サーバーの応答が全部Apache/2.0.55 (Debian) PHP/4.4.2-1と同じなのも特徴的です。この応答は偽装であって実際にはWindowsです。一部応答が無いのもありますがきっとウイルスに感染したPCのオーナーが寝るために(出かけるために?)電気を切ったのでしょう。
ドメインelijoe.comはこの詐欺のために取得したもので3月31日取得で1年の期限となっています。
www.elijoe.comのアドレスは以下のように複数あります。
82.226.184.84 == gar31-2-82-226-184-84.fbx.proxad.net
24.127.241.183 == c-24-127-241-183.hsd1.fl.comcast.net
67.187.163.95 == c-67-187-163-95.hsd1.ca.comcast.net
70.149.41.168 == adsl-149-41-168.mia.bellsouth.net
多くのADSL/CATV回線を使っているのはゾンビPCを使ったフィッシングの特徴です。
サーバーの応答が全部Apache/2.0.55 (Debian) PHP/4.4.2-1と同じなのも特徴的です。この応答は偽装であって実際にはWindowsです。一部応答が無いのもありますがきっとウイルスに感染したPCのオーナーが寝るために(出かけるために?)電気を切ったのでしょう。
ドメインelijoe.comはこの詐欺のために取得したもので3月31日取得で1年の期限となっています。
● chase.comの偽サイト ttp://chase-online-upd.mydomain.myx.net/image.html
chase-online-upd.mydomain.myx.netのアドレスは217.10.193.170でルーマニア、逆引きはns9.dr.myx.netです。
ttp://217.10.193.170/ として見たホームページはネットサービスです。ホスト名にフィッシングを思わせる名前を付けられた原因は
1)DNSもクラックされている
2)サブドメインのサービスへの加入が無人で可能なのので犯人自身が加入した
のどちらかでしょう。DNSのアドレスは193.230.161.3と193.230.161.4であって同一ホストではないため 2)である可能性が高いと思います。。
サーバーの応答はApacheとだけ返りますがエラーメッセージにはApache/1.3.27が見えます。
画像を取得した直後にコンテンツが消えました。
ttp://217.10.193.170/ として見たホームページはネットサービスです。ホスト名にフィッシングを思わせる名前を付けられた原因は
1)DNSもクラックされている
2)サブドメインのサービスへの加入が無人で可能なのので犯人自身が加入した
のどちらかでしょう。DNSのアドレスは193.230.161.3と193.230.161.4であって同一ホストではないため 2)である可能性が高いと思います。。
サーバーの応答はApacheとだけ返りますがエラーメッセージにはApache/1.3.27が見えます。
画像を取得した直後にコンテンツが消えました。
— posted by staff @ 12:00AM
| TrackBack(0)
