ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
【詐欺】Appleフィッシングメール 添付PDFファイル開き1,400クリック!?

イメージ 1
Image いらすとや

フィッシング対策協議会によると Apple Inc. を勝手に名乗る 日本語フィッシングメール が確認されていて、添付ファイルとして PDF文書(拡張子 .pdf) が付いてる攻撃パターンだとか。

Apple をかたるフィッシング (2017/07/05) - フィッシング対策協議会
https://www.antiphishing.jp/news/alert/apple_20170705.html

これはスパムフィルタで偽メールを弾かれないよう意図してる?

【フィッシングメールの典型的な手口】
メール本文中のリンク
 ↓ クリック
フィッシングサイト

【フィッシングメールで添付ファイルの手口】
PDFファイル付きのメール
 ↓ PDFファイルを開く
PDF文書上のリンク
 ↓ クリック
フィッシングサイト

手元でも、悪意ある第三者が Apple のアカウントに不正アクセスしてゲームアプリを勝手に購入したと通知するセキュリティ警告を装うPDFファイルを受け取ってます。

イメージ 4
リンゴのロゴマーク+Apple Store で成りすまし
お客様各位、
Apple
IDを使用してiCloudのWebサイトにログインし、iTunes Store経由で支払いを行いまし
た:
アイテム:Space Qube
注文番号:HDH6YMK37
注文総額:$ 34.99
IPアドレス:190.153.81.31(31.81.153.190.net-uno.net)
場所:バレンシア、Carabobo、ベネズエラ
ブラウザ:Mozilla / 5.0(Macintosh; Intel Mac OS X 10_10_5)
プラットフォーム:MacOS
サポートチームが不正な人物を検出しました
あなたのアカウントはセキュリティ対策のためにロックされています。
パスワードを変更し、この購入をアップルIDアカウントページから取り消す必要があります:
[ここをクリック]
ありがとう
Appleサポート
日本語の文章がビミョ〜に変だけど、衝撃的な情報で驚かせて誘導リンクを ”うっかり” クリックさせようとしてます。

日本から1,400クリックも…

PDF文書上のリンクに短縮URLの Bit.ly が使われてるものがあるので、そのアクセス解析ページの1つを確認してみると、日本からのクリック数が 約1,400 となってました。

イメージ 3
bitly[.]com/cpplejp+

メールを無視できない上に不審なPDFファイルを開いてリンクまで踏むユーザーさんが結構たくさんいるようです。

誘導先はAppleフィッシングサイト

フィッシングサイトのURLにアクセスしてみると、次のように Apple の公式サイトっぽく見える日本語表記の偽サインインページでした。

イメージ 2
「Apple ID あなたのAppleアカウントを管理する」

イメージ 5
「Apple Store にサインイン」

フィッシングサイトを見抜く

ユーザーをダマすため、見た目のデザインは本家のデザインをそっくり流用して偽装できるので、ブラウザのアドレスバー に注目して apple.com ではないところでフィッシングサイトを見抜きます。

イメージ 6
違和感ありまくりのURL

このフィッシングサイトのURLは攻撃者が誤った方向に頑張りすぎていて、不自然な日本語の文字列とローマ字読み 「さぽーと-あかうんと.com」 のドメインで運用されてます。
関連するブログ記事

この記事に

開くトラックバック(0)

【詐欺】LINE二段階パスワード迷惑メール フィッシングサイト誘導に注意

イメージ 3
Image いらすとや

LINE Corporation が提供する通話アプリ LINE に成りすまして、もっともらしい2段階認証を設定するよう促す通知を装った日本語表記の 迷惑メール(スパムメール) が確認されてます。
件名 [LINE]二段階パスワードの設置
最近LINEアカウントの盗用が多発しており、ご不便をもたらして、申し訳ありません。あなたのアカウントが盗まれないよう、システムは2段階パスワードに更新いたしました。なるべく早く設定をお願いします。
こんにちは、このメールはLINEで自動送信されています。
以下のURLをクリックし、二級パスワード設定手続きにお進みください。
https://line.me/ja/anqun/gamess/authsupport/changePassword?verifier=〜
━━━━━
LINE
http://line.me
LINE Corporation
━━━━━
ところどころ日本語の表現がビミョーに不自然なので怪しいことに気づけなくもないです。 <途中で「こんにちは」、オチに「二級パスワード」

誘導先は偽ログインページ

誘導先は緑色の背景に LINE のロゴマークが掲げられ、メールアドレスとパスワードの入力欄が用意されてる 偽ログインページ でした。 <LINEアカウントを盗みとる目的のフィッシングサイト

イメージ 1
LINE偽ログインページ

ちなみに、この偽ログインページのソースコードを確認してみると日本では使われないお隣の大陸の漢字が見えます。

イメージ 2
コメントアウトに中国語

偽ログインページは LINE の正規のURLアドレス 「line.me」 ではありません。

【LINEフィッシングサイト URL例】
http://www.lineze[.]cn/

関連するブログ記事

この記事に

開くトラックバック(0)

2017.6支払依頼書/請求書ほか迷惑メール zipからjsファイルでウイルス感染

イメージ 3
Image いらすとや

もっともらしく金銭の支払い依頼書や請求書と称した日本語表記の怪しい 迷惑メール(スパムメール) が不特定多数に送信されてます。
2017.6支払依頼書
お疲れ様です。
請求書金額を入力した支払依頼書を添付いたしました。
ご確認後、印刷し原本のご郵送をお願い致します。
宜しくお願いたします。
請求書ほか
お世話になっております。
御請求書は、御社様宛に送付になります。
御確認の程、宜しくお願いいたします。
添付ファイルはzip形式の圧縮アーカイブなので手動で解凍・展開して中身を確認すると、次のような JavaScript ファイルJScript Script ファイル拡張子 .js) という形式のスクリプトファイルです。

イメージ 1
スクリプトファイル .js

【添付ファイル】
2017.6.21890455543.xls.js
2017-547805549-231.pdf.js
DOC0978043-2017.6.doc.js


ファイルの拡張子 を二重拡張子に仕立てて、ユーザーにエクセル、PDF文書、ワード文書が送られてきたと誤認させようとしてます。 <アイコン画像は巻き物の図案

このような形式のファイルをメールでやり取りすることは通常ありえません。

セキュリティトピックス

Q. スマホは大丈夫?

.jsファイルの動作対象は Windows パソコンだけなので、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメールの受信自体はあっても動かないから大丈夫です。

Q. 何をしたらウイルス感染?

Windowsパソコン上で.jsファイルをポチポチっと ダブルクリック して開くと、外部ネットワークから Bebloh/Shiotob ウイルスがダウンロードされてきてシレッと起動します。 <ネットバンキング不正送金が目的

イメージ 2
wscript.exe を介してウイルス感染した瞬間

メールソフトのプレビュー機能でメールの内容が表示されたり、メールの本文を単に読んだだけでは別に何も起こりません。

Q. 無料でウイルス感染を防止する?

スクリプトファイルの関連付けや動作設定を変更しておいたり、ファイアウォールで wscript.exe の通信をブロックしておくと、うっかり.jsファイルを踏み抜いても100%確実に攻撃は失敗します。

関連ファイル

【スクリプトファイル】
■ MD5 0994c2e3dc7d38b9d6abba5d9755b819
www.virustotal.com/ja/file/60834d0c9d0602ef18cd65289b0b0fab05bbdb512acd3af0b273b6414883f60e/analysis/1498524960/

■ MD5 6d8f83550b5f4fea50378ec4bd01282b
www.virustotal.com/ja/file/59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702/analysis/1498510729/

■ MD5 0855b3cc00cf86a71d5b1ae31a57bdd2
www.virustotal.com/ja/file/64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f/analysis/1498523440/

【実行ファイル】
■ MD5 1568dafae63eebce20987dd6205704e5
www.virustotal.com/ja/file/0931537889c35226d00ed26962ecacb140521394279eb2ade7e9d2afcf1a7272/analysis/1498516696/
関連するブログ記事

この記事に

開くトラックバック(0)

【詐欺】無料0.1BTC取得? 迷惑メールでビットコイン取引所フィッシングサイト誘導

イメージ 2
Image いらすとや

価格が高騰してると最近ニュースを見かける仮想通貨ビットコインの取引所を装った日本語表記の 迷惑メール(スパムメール) を受信しました。 <仮想通貨が題材の 偽メール を手元で受け取ったのは初めて
件名 【BTCBOX】無料0.1BTCを取得
本人認証
https://www.btcbox.co.jp/wap/index/login/
ビットコインで0.1BTC… 記事投稿時点だと日本円で3万円相当をタダでくれるというエサで誘導された先はこんな感じになってました。

イメージ 1
BTCBOX ログイン

メールアドレスとパスワードの入力欄が用意されてあって、仮にもアカウント情報を送信してしまうと預けてあるビットコインがサイバー犯罪者に盗まてしまうと。

【フィッシングサイトURL例】
http://www.btcbox.co.jp.login.bzzx[.]pw/
→ www.virustotal.com/ja/ip-address/116.212.127.230/information/

フィッシングサイトのURLにある.pwドメインは太平洋の島国パラオ、サーバーは香港で稼働してました。
関連するブログ記事

この記事に

開くトラックバック(0)

【詐欺】オフィスソフトのプロダクトキーが不法コピー迷惑メール フィッシングサイト誘導

前から確認されてる マイクロソフトを騙る偽メール だけど、久々に 『オフィスソフト監視部門』『マイクロソフトセキュリティチーム』 を名乗って日本語表記の怪しい 迷惑メール(スパムメール) が着弾〜。
件名 [重要]オフィスソフトのプロダクトキーが不法コピーされる警告!!
送信者 オフィスソフト監視部門 <
parinov@my-mail.ru
>
0今すぐオフィスソフトのプロダクトキーを認証開始してください。でなければ授権は終了してしまいます!
マイクロソフトセキュリティチームはご利用のオフィスソフトのプロダクトキーが違法コピーされた恐れがあることを発見しています。
ご利用のオフィスソフトのプロダクトキーでほかのオフィスソフトを起動する試みが攻撃者と思われる者によって行われています。こちらからはあなたの操作なのかどうか判定できないため、検証作業をするようお願いします。
検証作業が行われていない場合、あなたのオフィスソフトのプロダクトキーの授権状態がまもなく終わりますので、ご注意ください。
今すぐ認証
*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正なコピーを防止する技術で、手続きは簡単に実行できます。 また、この手続きは匿名で行われるので、お客様のプライベートな情報は保護されています。ご安心ください。
いちおう真面目そうな通知に反してビックリマーク!が登場したり、不自然な表現 「授権」 もあったりで違和感しかないものの、不安を煽って焦らせて本文中の「今すぐ認証」リンクを踏ませたい必死さがヒシヒシ伝わってきます。

誘導先はマイクロソフト偽サインインページ

手元でさっそく踏んでみると、Microsoft Office の公式サイトっぽく外観デザインが偽装された日本語表記の不正なページにアクセスします。

イメージ 1
OFFICEのプロダクトキーが不正コピー!?!?

ご注意!!OFFICEのプロダクトキーが 不正コピーされています
お客様のOfficeのプロダクトキーが 不正コピーされていることが日本マイクロソフトに検出されました。正規版の利用者であれば、日本マイクロソフトの認証にご協力ください。でなければ24時間後に当プロダクトキーを無効にします
今すぐ認証

オレンジ色の「今すぐ認証」リンクをクリックすると、サインインページへ移動して Microsoft アカウントのユーザー名とパスワードの入力欄が用意されてます。

イメージ 2
サインイン Microsoft アカウントを使用してください。

テキト〜な文字列を入力して青い[サインイン]ボタンを押すと、今度は氏名、住所、電話番号とクレジットカード番号の入力欄です。

イメージ 3

イメージ 4

PINコードを用いてOfficeを守ります
PINコードと本パソコンのOffice認証コードを併用することで、万が一Office認証コードが故障し、または紛失した場合、PINコードで修復可能です。


入力して送信した大事なアカウント情報、個人情報、金融情報がサイバー犯罪者に一挙に盗まれてしまうと。

関連情報

フィッシングサイトはブラウザのアドレスバーに表示されてるURLを確認すると、正規の microsoft.comoffice.com ではありません。

【フィッシングサイトURL例】
http://secuirtyteam[.]info/
 ↓ 転送
http://support-securityprotection-micrrosoft[.]com/
http://support-securityprotection-micrrosoft[.]com/verify.php

フィッシングサイトはロシアのサーバーで稼働してます。

> www.virustotal.com/en/ip-address/80.252.22.122/information/
> www.virustotal.com/en/ip-address/80.252.22.111/information/

ドメイン保有者はロシア・コミ共和国の Aleksej Sergej なるロシア人のように見せて実際にはデタラメな偽名のはずです。

イメージ 5

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事