アドレス83.235.181.44はギリシャで逆引きはgojbak.static.otenet.grです。

ttp://83.235.181.44/ のトップページはレンタルサーバーの初期画面のようです。クラックされたのか犯人が加入したのか不明です。

サーバーの応答はApache/2.0.52 (CentOS)です。cyota.comに通報しました。

デタラメのIDとパスワードでログインできます。

口座の種類選択画面。どちらかを選ぶと先に進みます。

カード番号詐取画面です。

ClamAVでHTML.Phishing.Bank-292と検知されています。

ttp://195.114.55.216/ とすると本物のサイトに飛ばされます。ドメインcltidank.comはもちろんcitibank.comに似せて取得したもので犯人自身開設したものです。

ドメインcltidank.comは3月15日に取得され期限が1年です。DNSはdnsfs.netとnsbdb.comが使われていてこれは前にも観察されていて、犯人自身がたちあげているDNSです。

citibusinessonline.da-us.cltidank.comのアドレスは195.114.55.216でラトビア、逆引きはありません。

サーバーの応答は Apache/2.0.49 (Unix) mod_ssl/2.0.49 OpenSSL/0.9.7e DAV/2 PHP/5.0.2 です。

まずアカウントの種類を入れます。そのままEnterボタンを押すと下の画面になります。

ビジネスコードを入れる画面。これだけで何か詐欺ができるようです。このあともう1つの窓が画面一杯に開きます。

画面一杯のエラー画面です。

ClamAVでHTML.Phishing.Auction-94と検知されています。

signin.ebay.com.lle.ccのアドレスは66.242.17.172でアメリカ、逆引きalanchumk.apolloservers.comです。

トップページは Access Denied !!! という表示です。!!! は普通のエラーメッセージでは無いですね。意図的に書いたというわけです。ドメインlle.ccが4月8日に取得され期限が1年であることとからも考えて犯人自身がレンタルサーバーに加入して取得して開設したものと思われます。

サーバーの応答はApache/2.0.40 (Red Hat Linux)です。

IDとパスワード詐取画面です。でたらめを入れて見ると下のエラー画面になります。

エラー画面です。また同じものを入れてもこの画面になります。