フィッシング詐欺サイト情報
Yesterday: 
ClamAVでHTML.Phishing.Bank-413と検知されています。またゾンビPCを多数使った大規模なフィッシング詐欺です。
usernotify.comのアドレスは多数あります。
59.188.244.238 逆引き無し 香港
62.195.181.105 i181105.upc-i.chello.nl オーストリア
84.63.116.169 dslb-084-063-116-169.pools.arcor-ip.net ドイツ
ドメインusernotify.comは4月14日に取得され期限が1年です。
DNSは以下です。
ns1.disadent.com 67.58.209.233 逆引き無し
ns2.disadent.com 69.204.120.132 cpe-69-204-120-132.rochester.res.rr.com
ドメインdisadent.comは3月3日に取得され期限が1年です。
wwwサーバー用のドメインもDNSサーバー用のドメインもこの詐欺のために用意したものと思われます。wwwサーバーのアドレスはDNSで値を頻繁に入れ替えるようになっていて(寝るためや出かけるため、あるいは気が付かれて)ダウンしたPCをすぐ置き換えることができるようになっています。
サーバーの応答はいずれも Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7a PHP/4.4.2 mod_perl/1.29 FrontPage/5.0.2.2510 です。これはゾンビPCによるフィッシングの特徴です。完全に同じ種類のウイルスが仕掛けられていて、そのPCが遠隔地からのコマンドにより協調して動いています。
応答はUnixとなるのですがこれは偽装で実際にはWindowsです。
usernotify.comのアドレスは多数あります。
59.188.244.238 逆引き無し 香港
62.195.181.105 i181105.upc-i.chello.nl オーストリア
84.63.116.169 dslb-084-063-116-169.pools.arcor-ip.net ドイツ
ドメインusernotify.comは4月14日に取得され期限が1年です。
DNSは以下です。
ns1.disadent.com 67.58.209.233 逆引き無し
ns2.disadent.com 69.204.120.132 cpe-69-204-120-132.rochester.res.rr.com
ドメインdisadent.comは3月3日に取得され期限が1年です。
wwwサーバー用のドメインもDNSサーバー用のドメインもこの詐欺のために用意したものと思われます。wwwサーバーのアドレスはDNSで値を頻繁に入れ替えるようになっていて(寝るためや出かけるため、あるいは気が付かれて)ダウンしたPCをすぐ置き換えることができるようになっています。
サーバーの応答はいずれも Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7a PHP/4.4.2 mod_perl/1.29 FrontPage/5.0.2.2510 です。これはゾンビPCによるフィッシングの特徴です。完全に同じ種類のウイルスが仕掛けられていて、そのPCが遠隔地からのコマンドにより協調して動いています。
応答はUnixとなるのですがこれは偽装で実際にはWindowsです。
● paypal.comの偽サイト ttp://horde.mailsnare.net/horde/services/help/.../ws/paypalddlsign/webscr/ssl-login/us/webscr.php?cmd=_login-run
ClamAVでHTML.Phishing.Auction-28と検知されています。
horde.mailsnare.netのアドレスは206.246.200.168でアメリカ、逆引きはありません。
メールサービスの業者のマシンのうち一台がクラックされています。
サーバーの応答は Apache/2.0.52 (Fedora) です。paypal.comとmailsnare.netに通報しました。
horde.mailsnare.netのアドレスは206.246.200.168でアメリカ、逆引きはありません。
メールサービスの業者のマシンのうち一台がクラックされています。
サーバーの応答は Apache/2.0.52 (Fedora) です。paypal.comとmailsnare.netに通報しました。
● chase.comの偽サイト ttp://161.58.37.5/
アドレス161.58.37.5はアメリカ、逆引きはvreisadormi.comです。
ttp://vreisadormi.com/ としても同じページが見られます。ドメインvreisadormi.comが4月13日と昨日取得され期限が1年であることも考えると犯人自身が詐欺目的でレンタルサーバーに加入して開設したものと思われます。
サーバーの応答は Apache/1.3.33 (Unix) FrontPage/5.0.2.2635 mod_ssl/2.8.24 OpenSSL/0.9.7i です。
cyota.comに通報しました。
ttp://vreisadormi.com/ としても同じページが見られます。ドメインvreisadormi.comが4月13日と昨日取得され期限が1年であることも考えると犯人自身が詐欺目的でレンタルサーバーに加入して開設したものと思われます。
サーバーの応答は Apache/1.3.33 (Unix) FrontPage/5.0.2.2635 mod_ssl/2.8.24 OpenSSL/0.9.7i です。
cyota.comに通報しました。
● paypal.comの偽サイト ttp://paypal.com.cgi-bin.webscr.cmd.login-run.online.collisioncamera.com/webscr.php?cmd=_login-run
paypal.com.cgi-bin.webscr.cmd.login-run.online.collisioncamera.com のアドレスは63.247.87.178でアメリカ、逆引きはpluto.dnsprotect.comです。
ドメインcollisioncamera.comは現在売り物になっています。
collisioncamera.comのDNSサーバーはNS35.DNSPROTECT.COM [72.9.239.130] とNS36.DNSPROTECT.COM [70.85.84.52]です。このドメインは逆引きしたときに出るドメインdnsprotect.comと同一なのですがアドレスが異なるためどのようにしてサブドメインpaypal.com.cgi-bin.webscr.cmd.login-run.online.を追加したのかは不明です。DNSとwebサーバーの両方がクラックされたのでしょうか。
サーバーの応答は Apache/1.3.34 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.4.2 FrontPage/5.0.2.2635 mod_ssl/2.8.25 OpenSSL/0.9.7d です。
dnsprotect.comとpaypal.comに通報しました。
追記:送ってから約1時間後にdnsprotect.comからアカウントはすぐに停止した、Thank youと返事が来ました。どうやらサブドメインのレンタルサーバーサービスだったようです。
ドメインcollisioncamera.comは現在売り物になっています。
collisioncamera.comのDNSサーバーはNS35.DNSPROTECT.COM [72.9.239.130] とNS36.DNSPROTECT.COM [70.85.84.52]です。このドメインは逆引きしたときに出るドメインdnsprotect.comと同一なのですがアドレスが異なるためどのようにしてサブドメインpaypal.com.cgi-bin.webscr.cmd.login-run.online.を追加したのかは不明です。DNSとwebサーバーの両方がクラックされたのでしょうか。
サーバーの応答は Apache/1.3.34 (Unix) mod_auth_passthrough/1.8 mod_log_bytes/1.2 mod_bwlimited/1.4 PHP/4.4.2 FrontPage/5.0.2.2635 mod_ssl/2.8.25 OpenSSL/0.9.7d です。
dnsprotect.comとpaypal.comに通報しました。
追記:送ってから約1時間後にdnsprotect.comからアカウントはすぐに停止した、Thank youと返事が来ました。どうやらサブドメインのレンタルサーバーサービスだったようです。
● chase.comの偽サイト ttp://online-survey-reward.com/chase/
09:35現在online-survey-reward.comのアドレスは127.0.0.1のローカルアドレスになっています。準備中なのかもしれません。ドメイン名から予想できるのはアンケートに答えてくれれば20ドル振り込みますという詐欺です。
ドメインonline-survey-reward.comは4月12日に取得されたばかりで1年の期限です。
ドメインonline-survey-reward.comは4月12日に取得されたばかりで1年の期限です。
— posted by staff @ 12:35PM
| TrackBack(0)
