フィッシング詐欺サイト情報
Yesterday: 
citibusinessonline.da.us.citibank.com.accountinfo.ruのアドレスは以下のように複数あります。ゾンビPCネットワークを使った大掛かりな詐欺です。
81.14.182.228 a81-14-182-228.net-htp.de
84.63.34.244 dslb-084-063-034-244.pools.arcor-ip.net
85.8.75.96 xdslbu096.osnanet.de
85.179.5.191 e179005191.adsl.alicedsl.de
85.180.188.234 e180188234.adsl.alicedsl.de
サーバーの応答は全部同じで以下ですが偽装で実際はWindowsです。
Server: Apache
X-Powered-By: PHP/5.1.2
今回の詐欺には珍しくロシアのドメインaccountinfo.ruが使われています。このドメインは4月29日に取得され1年の期限です。この詐欺のために取得されたものです。
cyota.comに通報しました。
81.14.182.228 a81-14-182-228.net-htp.de
84.63.34.244 dslb-084-063-034-244.pools.arcor-ip.net
85.8.75.96 xdslbu096.osnanet.de
85.179.5.191 e179005191.adsl.alicedsl.de
85.180.188.234 e180188234.adsl.alicedsl.de
サーバーの応答は全部同じで以下ですが偽装で実際はWindowsです。
Server: Apache
X-Powered-By: PHP/5.1.2
今回の詐欺には珍しくロシアのドメインaccountinfo.ruが使われています。このドメインは4月29日に取得され1年の期限です。この詐欺のために取得されたものです。
cyota.comに通報しました。
● paypal.comの偽サイト ttp://rds.yahoo.com/_ylt LaSV66fNtDg.kAUoJXNyoA;_ylu=X3oDMTE2ZHVuZ3E3BGNvbG8DdwRsA1dTMQRwb3MDMwRzZWMDc3IEdnRpZANGNjU1Xzc1/SIG^T8vsd1jp/EXP^Q38544186/**http%3a//195.98.59.34/~test/.us/link.php?bWFpIHByb3N0=aWxvciBtYWkgc3VnZXRpIHB1bGEgZnV0dXZhIG1hbWVsZSBpbiBndXRhIGRlIGxhYmFyaSBjZSBzdW50ZXRpIHNpIGRvYm90b2NpIHBpc2VtYX
ClamAVでHTML.Phishing.Pay-120と検知されています。
サイトは一件yahoo.comにあるように見えますがrd.yahoo.comはリダイレクタであって ttp//195.98.59.34/~test/.us/link.php に飛ばされます。
ttp://195.98.59.34/ は空白、ttp://195.98.59.34/~test/ とすると ttp://www.local.com/~test/ (64.94.109.81)にまた飛ばされます。
195.98.59.34はロシアで逆引きは a.citron.nnov.ruです。ttp:/a.citron.nnov.ru/ とするとロシア語のサイトが見えます。
サーバーの応答:Apache/1.3.33 (Unix) PHP/4.4.0
サイトは一件yahoo.comにあるように見えますがrd.yahoo.comはリダイレクタであって ttp//195.98.59.34/~test/.us/link.php に飛ばされます。
ttp://195.98.59.34/ は空白、ttp://195.98.59.34/~test/ とすると ttp://www.local.com/~test/ (64.94.109.81)にまた飛ばされます。
195.98.59.34はロシアで逆引きは a.citron.nnov.ruです。ttp:/a.citron.nnov.ru/ とするとロシア語のサイトが見えます。
サーバーの応答:Apache/1.3.33 (Unix) PHP/4.4.0
● paypal.comの偽サイト ttp://p142-bkksp4.c.loxinfo.net.th/postinfo.html
ClamAVでHTML.Phishing.Pay-17と検知されています。
p142-bkksp4.c.loxinfo.net.thのアドレスは203.146.125.142でタイ、逆引きはp142-bkkSP4.C.loxinfo.net.th。
サーバーの応答は以下:
Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0 OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1
ここにつなぐと移動しましたというメッセージが表示され、移動先のリンクをクリックすると
ttp://80.191.29.180/www.paypal.com/sysdll.php
に飛ばされます。
80.191.29.180はイラン、逆引きは無し。サーバーの応答は以下:
Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0 OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1
ポート8080の方も立ち上がっていて Apache Coyote/1.0 という応答が返ります。
どちらもWindowsですが着目すべきところはサーバーの応答が完全に同じであるということでウイルスに感染したゾンビPCによる詐欺の可能性が高いものと思われます。
80.191.29.180の方はトップページはディレクトリ丸見えで詐欺アイテムが並んでいます。(下の図)
p142-bkksp4.c.loxinfo.net.thのアドレスは203.146.125.142でタイ、逆引きはp142-bkkSP4.C.loxinfo.net.th。
サーバーの応答は以下:
Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0 OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1
ここにつなぐと移動しましたというメッセージが表示され、移動先のリンクをクリックすると
ttp://80.191.29.180/www.paypal.com/sysdll.php
に飛ばされます。
80.191.29.180はイラン、逆引きは無し。サーバーの応答は以下:
Apache/2.2.0 (Win32) DAV/2 mod_ssl/2.2.0 OpenSSL/0.9.8a mod_autoindex_color PHP/5.1.1
ポート8080の方も立ち上がっていて Apache Coyote/1.0 という応答が返ります。
どちらもWindowsですが着目すべきところはサーバーの応答が完全に同じであるということでウイルスに感染したゾンビPCによる詐欺の可能性が高いものと思われます。
80.191.29.180の方はトップページはディレクトリ丸見えで詐欺アイテムが並んでいます。(下の図)
— posted by staff @ 08:01AM
| TrackBack(0)
