フィッシング詐欺サイト情報
Yesterday: 
ClamAVでTML.Phishing.Bank-209およびHTML.Phishing.Bank-424と検知されています。
www.skycar.net.cnのアドレスは61.152.210.10で中国、逆引きは無しです。
トップページはログインの画面なのでクラックされています。
サーバーの応答は以下です。phpとかずいぶん古いですね。メンテナンスされていないサーバーなのでしょう。
Server: Apache/1.3.20 (Unix) (Red-Hat/Linux) mod_python/2.7.6 Python/1.5.2 mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01 mod_throttle/3.1.2
cyota.comに通報しました。それにしても最近はchase.comばかりですね。
www.skycar.net.cnのアドレスは61.152.210.10で中国、逆引きは無しです。
トップページはログインの画面なのでクラックされています。
サーバーの応答は以下です。phpとかずいぶん古いですね。メンテナンスされていないサーバーなのでしょう。
Server: Apache/1.3.20 (Unix) (Red-Hat/Linux) mod_python/2.7.6 Python/1.5.2 mod_ssl/2.8.4 OpenSSL/0.9.6b DAV/1.0.2 PHP/4.0.6 mod_perl/1.24_01 mod_throttle/3.1.2
cyota.comに通報しました。それにしても最近はchase.comばかりですね。
● chase.comの偽サイト ttp://www.dhcp.com.br/postinfo1.html
ClamAVでHTML.Phishing.Pay-88と検知されています。
表題のURLにつなぐとすぐに ttp://202.65.159.29/www.chase.com/myaccounts.php に飛ばされます。
www.dhcp.com.br のアドレスは200.195.35.175でウルグアイ、逆引きは同じです。
サーバーの応答はMicrosoft-IIS/6.0です。こちらはクラックされています。
202.65.159.29 はインドで逆引きはlline-202-65-159-29.pol.net.inです。
サーバーの応答は以下です。
Server: Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0 OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1
こちらはトップページが無いので不明ですが犯人自身が立ち上げたようです。
cyota.comとpol.net.inに通報しました。
表題のURLにつなぐとすぐに ttp://202.65.159.29/www.chase.com/myaccounts.php に飛ばされます。
www.dhcp.com.br のアドレスは200.195.35.175でウルグアイ、逆引きは同じです。
サーバーの応答はMicrosoft-IIS/6.0です。こちらはクラックされています。
202.65.159.29 はインドで逆引きはlline-202-65-159-29.pol.net.inです。
サーバーの応答は以下です。
Server: Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0 OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1
こちらはトップページが無いので不明ですが犯人自身が立ち上げたようです。
cyota.comとpol.net.inに通報しました。
● chase.comの偽サイト ttp://www.gerardano.com/.webSQL/login.htm
ClamAVでHTML.Phishing.Pay-16と検知されています。
www.gerardano.comのアドレスは15:48現在引けなくなっています。
ディレクトリ名から考えてクラックされていたものと思われますがドメインが今年の4月19日取得で1年限りなので犯人の立ち上げているサーバーである可能性も否定できません。要観察です。
追記:
18:00に見たら出現していました。アドレスは複数あります。久しぶりのゾンビPCによるフィッシングでした。ということはこのドメインは犯人がこの詐欺のために取得したものです。
82.59.198.194 host194-198.pool8259.interbusiness.it
82.226.92.215 mar75-3-82-226-92-215.fbx.proxad.net
82.232.86.105 car06-1-82-232-86-105.fbx.proxad.net
82.237.111.110 lib59-2-82-237-111-110.fbx.proxad.net
82.255.206.176 lns-bzn-56-82-255-206-176.adsl.proxad.net
サーバーの応答はいずれも Apache/2.0.55 (Debian) PHP/4.4.2-1 です。応答が同じなのは同じウイルスを使っているからでゾンビPCによるフィッシングの特徴です。Debian Linuxを偽装していますが実際にはWindowsです。
www.gerardano.comのアドレスは15:48現在引けなくなっています。
ディレクトリ名から考えてクラックされていたものと思われますがドメインが今年の4月19日取得で1年限りなので犯人の立ち上げているサーバーである可能性も否定できません。要観察です。
追記:
18:00に見たら出現していました。アドレスは複数あります。久しぶりのゾンビPCによるフィッシングでした。ということはこのドメインは犯人がこの詐欺のために取得したものです。
82.59.198.194 host194-198.pool8259.interbusiness.it
82.226.92.215 mar75-3-82-226-92-215.fbx.proxad.net
82.232.86.105 car06-1-82-232-86-105.fbx.proxad.net
82.237.111.110 lib59-2-82-237-111-110.fbx.proxad.net
82.255.206.176 lns-bzn-56-82-255-206-176.adsl.proxad.net
サーバーの応答はいずれも Apache/2.0.55 (Debian) PHP/4.4.2-1 です。応答が同じなのは同じウイルスを使っているからでゾンビPCによるフィッシングの特徴です。Debian Linuxを偽装していますが実際にはWindowsです。
— posted by staff @ 03:44PM
| TrackBack(0)
