フィッシング詐欺サイト情報
Yesterday: 
ClamAVでHTML.Phishing.Bank-292と検知されています。
ttp://195.114.55.216/ としてつなぐと本物のサイトに飛ばされるので犯人自身がサーバーを立ち上げているものと思われます。
citibusinessonline.da-us.citlidank.comのアドレスは195.114.55.216でラトビア、逆引きはありません。
サーバーの応答はApache/2.0.49 (Unix) mod_ssl/2.0.49 OpenSSL/0.9.7e DAV/2 PHP/5.0.2です。
ttp://195.114.55.216/ としてつなぐと本物のサイトに飛ばされるので犯人自身がサーバーを立ち上げているものと思われます。
citibusinessonline.da-us.citlidank.comのアドレスは195.114.55.216でラトビア、逆引きはありません。
サーバーの応答はApache/2.0.49 (Unix) mod_ssl/2.0.49 OpenSSL/0.9.7e DAV/2 PHP/5.0.2です。
● chase.comの偽サイト ttp://221.159.194.221/update/start.htm?cmd=LogIn
ClamAVでHTML.Phishing.Bank-392と検知されています。
Not Found になるので管理者が気がついて消去したようです。トップページは不動産の情報のようなのでクラックされていたものと思われます。
アドレス221.159.194.221は韓国で逆引きはありません。
現在のサーバーの応答は Apache/1.3.9 (Unix) PHP/4.3.4 です。
追記:(18:20)
どうも沢山来るから変だなと調べたらコンテンツがアップされていました。
Not Found になるので管理者が気がついて消去したようです。トップページは不動産の情報のようなのでクラックされていたものと思われます。
アドレス221.159.194.221は韓国で逆引きはありません。
現在のサーバーの応答は Apache/1.3.9 (Unix) PHP/4.3.4 です。
追記:(18:20)
どうも沢山来るから変だなと調べたらコンテンツがアップされていました。
● paypal.comの偽サイト ttp://201.129.224.97/.paypal-sk/update-paypal/cgi-bin/secure/login/login.html
ClamAVでHTML.Phishing.Pay-34と検知されています。
アドレス201.129.224.97はメキシコ、逆引きはdsl-201-129-224-97.prod-infinitum.com.mxです。
ttp://201.129.224.97/ としてトップページにつないでみると管理画面が出ます。詐欺コンテンツが入っているディレクトリ名がドットから始まるのでクラックされている可能性があります。
サーバーの応答はApache/2.0.52 (CentOS)です。
アドレス201.129.224.97はメキシコ、逆引きはdsl-201-129-224-97.prod-infinitum.com.mxです。
ttp://201.129.224.97/ としてトップページにつないでみると管理画面が出ます。詐欺コンテンツが入っているディレクトリ名がドットから始まるのでクラックされている可能性があります。
サーバーの応答はApache/2.0.52 (CentOS)です。
● chase.comの偽サイト ttp://208.53.87.230:81/chase/colportal/prospect.php?_nfpb=change_form
ClamAVでHTML.Phishing.Bank-386と検知されています。
ポート80にはつながりません。ポート81のトップページはApacheインストール直後の画面です。
アドレス208.53.87.230はアメリカ、逆引きは208-53-87-230.chico.ca.digitalpath.netです。digitalpath.netは無線LANのプロバイダです。クラックされたのか犯人自身が開設しているかのどちらかです。DNSを立ち上げてドメイン名を使った本物に似せたURLになってはいないのでまたガキが立ち上げているのでしょうか。
サーバーの応答はApache/2.0.55 (Win32) PHP/4.4.1です。
ポート80にはつながりません。ポート81のトップページはApacheインストール直後の画面です。
アドレス208.53.87.230はアメリカ、逆引きは208-53-87-230.chico.ca.digitalpath.netです。digitalpath.netは無線LANのプロバイダです。クラックされたのか犯人自身が開設しているかのどちらかです。DNSを立ち上げてドメイン名を使った本物に似せたURLになってはいないのでまたガキが立ち上げているのでしょうか。
サーバーの応答はApache/2.0.55 (Win32) PHP/4.4.1です。
● citibank.comの偽サイト ttp://citibusinessonline.da-us.cltibcnk.com/cbusol/signon.do?rid=6967736D456A686872746A68666B793374
ClamAVでHTML.Phishing.Bank-292と検知されています。
citibusinessonline.da-us.cltibcnk.comのアドレスは202.39.10.156で台湾、逆引きはありません。
ttp://202.39.10.156/ としてつなぐと本物のサイトに飛ばされます。ホスト名がmail2.fortrend.com.twとなっているのでメールサーバーがクラックされてその上にwwwサーバーが立ち上げられているものと思われます。
ドメインcltibcnk.comは犯人自身が取得したもので3月15日の登録で1年の期限になっています。
サーバーの応答はApache/2.0.49 (Unix) mod_ssl/2.0.49 OpenSSL/0.9.7e DAV/2 PHP/5.0.2です。cyota.comに通報しました。
citibusinessonline.da-us.cltibcnk.comのアドレスは202.39.10.156で台湾、逆引きはありません。
ttp://202.39.10.156/ としてつなぐと本物のサイトに飛ばされます。ホスト名がmail2.fortrend.com.twとなっているのでメールサーバーがクラックされてその上にwwwサーバーが立ち上げられているものと思われます。
ドメインcltibcnk.comは犯人自身が取得したもので3月15日の登録で1年の期限になっています。
サーバーの応答はApache/2.0.49 (Unix) mod_ssl/2.0.49 OpenSSL/0.9.7e DAV/2 PHP/5.0.2です。cyota.comに通報しました。
— posted by staff @ 03:35PM
| TrackBack(0)
