フィッシング詐欺サイト情報

April 19, 2006

● chase.comの偽サイト ttp://adsl-71-158-151-44.dsl.irvnca.sbcglobal.net:84/www.chase.com/update_card.html

ClamAVでHTML.Phishing.Bank-159と検知されています。

アドレスは71.158.151.44でアメリカです。逆引きも同じ。

ttp://71.158.151.44/ としてつなぐと電子機器販売サイトが見えるのでクラックされています。

サーバーの応答は以下です。
ポート80がMicrosoft-IIS/5.0
ポート84がApache/1.3.23 (Win32)

いきなり口座番号とクレジットカード番号詐取画面です。（上部）

（下部）

● paypal.comの偽サイト ttp://paypal.com.cgi-bin.webscr.cmd.login.run.dofari.com/webscr.php?cmd=_login-run

すでにアドレスは引けません。

ドメインdofari.comはStatus: REGISTRAR-HOLDとなっていて詐欺行為により使用停止になった可能性があります。

● paypal.comの偽サイト ttp://santaphonecall.com/links/paypal/https/www.paypal.com/cgi-bin/webscr.php?cmd=_login-run

santaphonecall.comのアドレスは146.82.253.136でアメリカ、逆引きはありません。

トップページは全く別のコンテンツが見えるのでクラックされているようです。

サーバーの応答は以下です。
Server: Apache/1.3.33 (Unix) mod_python/2.7.10 Python/2.2.2 mod_webapp/1.2.0-dev mod_perl/1.29 mod_throttle/3.1.2 PHP/4.3.11 FrontPage/5.0.2.2635 mod_ssl/2.8.22 OpenSSL/0.9.7e

デタラメのIDでログインできます。

認証しているふりの画面。

カード番号詐取画面。

● chase.comの偽サイト ttp://3394900038:8008/chaseonlinesm/index.htm

わかりやすい表記だと ttp://202.90.16.70:8008/chaseonlinesm/index.htm です。

ClamAVでHTML.Phishing.Bank-405と検知されています。

ttp://202.90.16.70/ とするとディレクトリ丸見えのページが見えます。mp3の音楽データなんかがありますね。ttp://202.90.16.70:8008/ の方もディレクトリ丸見えです。こちらはApacheインストール後に置かれるトップページのファイルがあります。個人が遊びに立ち上げたWindowsのサーバーのようですがクラックされたのかどうかは不明です。

このアドレスはシンガポールで逆引きはありません。

サーバーの応答はApache/2.0.55 (Win32) PHP/4.3.10です。

デタラメのIDでログインできます。

口座番号詐取画面。

カード番号詐取画面。

● chase.comの偽サイト ttp://myvoicespace.com/chase/colappmgr/colportal/prospect/usr/

"サーバが見つかりませんでした" というメッセージが出ます。バーチャルサーバーの設定が無いということです。

yahoo.comのビジネスサービスを使って立ち上げていました。ドメインmyvoicespace.comは2月24日に取得され1年の期限です。微妙に古いのですが詐欺のために取得したものでしょうか。

● moneybookers.comの偽サイト ttp://correo.productosunion.com/horde/services/help/.../moneybookers/secure-login/secure-activation/SSL-AUTH/

correo.productosunion.comのアドレスは216.244.153.196でペルー、逆引きはtiro.upeu.edu.peです。

トップページはWebmailの画面です。ディレクトリがドットから始まるのでクラックされていると判断できます。