📅 2014/06/28 | ✏️ Firefly

迷惑メール三井住友銀行本人認証サービス？フィッシング詐欺誘導

迷惑メール三井住友銀行本人認証サービス？フィッシング詐欺誘導

件名『「三井住友銀行」本人認証サービス』という迷惑メール（スパムメール）が不特定多数にバラ撒かれたそうで注意情報が発表されてます。

＜実在する銀行に成りすます！

● 緊急情報 | 三井住友銀行をかたるフィッシング(2014/06/27) （フィッシング対策協議会）
https://www.antiphishing.jp/news/alert/smbc20140627.html

● 三井住友銀行を名乗りインターネットバンキングの暗証番号等を騙し取るメールにご注意ください
http://www.smbc.co.jp/security/

偽メールの狙いは、「インターネットバンキング SMBCダイレクトログイン」なる不正なフィッシング詐欺サイトへの誘導です。

三井住友銀行を名乗るフィッシング詐欺目的の偽サイト

南京錠（鍵）マークも確認できるホンモノの三井住友銀行

このフィッシング詐欺サイトは、本家のデザインや文章など丸ごとパクって構築されてるので、表面的なパット見の見た目では異変に気付けず、確実に判断できるブラウザのアドレスバーのところに注目を！

Amazon偽注文メールOrder Detailsに注意! 添付ファイルはウイルスexe

Amazon偽注文メールOrder Detailsに注意! 添付ファイルはウイルスexe

アマゾン !?

実在する海外のオンラインショッピングサイトを勝手に名乗り、不特定多数にバラ撒かれた英語表記の 迷惑メール（スパムメール） を紹介しましょう。

＜偽メールで危険！

日本の Amazon.co.jp ではないけど…

米国 Amazon.com

英国 Amazon.co.uk

メールの件名はもっともらしく Order Details（意味 → 注文の詳細）となっていて、アマゾンで商品を注文した確認通知を装ってます。

米 Amazon.com（Amazon Local）を装うスパムメール

件名 Order Details / Alert: Order Details
National
Amazon Local
Hi,
Thank you for your order. We'll let you know once your item(s) have dispatched.You can view the status of your order or make changes to it by visiting Your Orders on Amazon.com.
Order Details
Order R:[数字] Placed on [月日], [数字]
Order details and invoice in attached file.
Need to make changes to your order? Visit our Help page for more information and video guides.
We hope to see you again soon. Amazon.com

英語の意味は『ご注文ありがとうございます。商品が発送されたらお知らせします。Amazon.com の [Your Order] で注文の状況の確認したり、注文の変更ができます。』です。

ただ、具体的にアマゾンで何を注文したのか書かれておらず、そこに添付ファイルを確認するよう誘うという巧妙な手口です。

＜詳細が書かれておらず不安になって無視できない状態に

メールの添付ファイルはマルウェア！実行ファイル .exe

偽アマゾンメールの添付ファイルはzip形式の圧縮アーカイブでした。

手動で展開・解凍して中身を確認すると、Windows 向け実行ファイル（拡張子 .exe）となっていて、これをポチポチっとダブルクリックして開いたら THE END です。

＜ウイルス自爆感染を狙ってる！

コンピュータウイルス実物の画像

ウイルス対策に拡張子の確認が大事

【メール添付ファイル】
order_id_[数字].zip
order_id.zip
report_id.zip
order_report.zip
　↓ ユーザーが展開・解凍する

order_id_[数字].exe
order_id.exe
report_id_[数字].exe
order_report_[数字].exe

なお、この実行ファイル .exe の動作環境は Windows XP/Vista/7 パソコンだけです。

つまり、それ以外の Mac OS X、Android スマホ、iOS （iPhone / iPad）、ゲーム機らへんは、ウイルスの実行ファイルがそもそも動作しないから攻撃対象ではなく大丈夫です。

■ Windows を護るウイルス対策は？

このアマゾン偽メールについてYahoo!知恵袋で質問されてるユーザーさんがいました～。

● amazon.comからメールが来ました．しかし，私はそのメールアドレスではamazonに登録していません．なぜ，メールが来たのでしょうか？メールの内容は以下です．また，zipファイル(order_id_(数字).zip)が添付されています
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q13131091328

メールの差出人が表面的に ”Amaozn” と偽装されていることに気づかず、いちおう Amazon.com から来た正規のメールではないかと勘違いしているから危なかっしいですね。

● Amazon.co.jp からのEメールかどうかの識別について - Amazon.co.jp ヘルプ
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201304810

ウイルス対策として『怪しいメールを開くな』なんて巷では言われるけど、初っ端から ”怪しい” と判断できないユーザーさんが現実にいるワケで、『怪しいメールを開くな』はけっこう高度な要求です。

このウイルスメールの攻撃手口から行いたい対処方法は？

Windows ユーザーさんはファイルの拡張子に注意を払うウイルス対策はモノ凄く大事
メールに振り回されないよう無視！
その代わりに、Amazon 公式サイトにアクセスして自分のアカウントを確認する

■ オンラインスキャンサイトVirusTotalの結果

おすすめのセキュリティ対策ソフトたちはウイルス定義データを更新して後を追う状況なので、偽Amazonメールを着弾した直後にファイルスキャンしてもタイミング次第で脅威と判定されない恐れがあり注意が必要です。

www.virustotal.com/ja/file/bd2c18e28890fbddfa24665361967a76a91859ab4e21e9f43361ec7dce7d4931/analysis/1401371089/
www.virustotal.com/ja/file/a73e33e0f693bc834ba28bea1d4528f596b37991a02b8ca061f704496c3efe67/analysis/1404115212/
www.virustotal.com/ja/file/d12526fc430fa213d77f8523a89c92c5f4e0d11deacbaf5c160a16f87ed5adc3/analysis/1403711247/

ウイルス .exe の正体は…

● Amazonからのメールを装って拡散されるトロイの木馬 - Dr.Web
多くのユーザーがAmazonからの注文確認メールを装った偽のメールを受け取るようになりました。このメールには、注文の詳細を確認するために添付のファイルを開くよう記載されています。添付されているZIPアーカイブには、ウイルス開発者らによってSmoke Loaderと呼ばれているBackDoor.Tishop.122マルウェアの実行ファイルが含まれています。このトロイの木馬は感染させたコンピューター上に悪意のある別のソフトウェアをダウンロードすることで、アンチウイルスによって保護されていないシステムをマルウェアの巣窟へと変化させます。
https://news.drweb.co.jp/show/?i=750

偽Flash Playerの同意ボタンでアドウェアや迷惑ソフトてんこ盛り setup.exeの正体

偽Flash Playerの同意ボタンでアドウェアや迷惑ソフトてんこ盛り setup.exeの正体

Image いらすとや

どこかの広告配信サーバー由来で、ブラウザアドオン Adobe Flash Player のダウンロードページを装う不正なページへ強制的に転送するトラブルが昨日から発生してるようです。

・ ニコニコ動画などのYahoo!プロモーション広告から偽FlashPlayerをダウンロードさせられる件 - Togetterまとめ
https://togetter.com/li/682003

[追記] 正規の広告会社マイクロアドから不正な広告コンテンツが配信されたことが発表されてます。

・ niconicoなどのサイトに不正プログラムへの誘導広告マイクロアドの広告配信サービス経由で表示 - ねとらぼ
http://nlab.itmedia.co.jp/nl/articles/1406/20/news045.html

■ 偽 Flash Player ダウンロードページ

この不正なページは日本語の文章がところどころおかしいです。

また、URLアドレスを確認すると、アドビ・システムズ adobe.com でも何でもないところと分かるものの、Adobe 本家の外観デザインをパクって偽装しておりイヤらしい～！

偽 Adobe Flash Player ダウンロードページ

お知らせ：現在インストールされている FlashPlayer のバージョンは低いですので、更新してください。新しいバージョンのFlashPlayerは放送速度はもっと速くて、性能は良いとなります。

【IEブラウザのダウンロード通知】
get.down1oad4desktop[.]com から setup.exe を実行または保存しますか?

■ 配布ファイル setup.exe にナゾのデジタル署名

ここからダウンロードさせようとする Windows 向け実行ファイル setup.exe には、ナゾの名義のデジタル署名が付いてました。

● setup.exe … イスラエル企業 OUTBROWSE

○ Adobe Flash Player 正規インストーラ … Adobe Systems Incorporated

OUTBROWSE はアドウェアの泉である中東イスラエルの広告企業です。

setup.exe を起動するとアドウェアまみれに

この実行ファイルをうっかり起動するとどうなる？

手元で setup.exe フィアルを起動して確認すると、英語表記で『Install Your Software』『FLV Player』というタイトルのインストール画面が表示されました。

右上×ボタンでインストーラは終了できる

アドウェアの同時導入提案
左下で導入は拒否できるも右下ボタンは同意！

ここでは下のソフトウェアの同時導入提案が次々と表示されていきます。

仮にユーザーの意思の元で右下ボタン（＝同意）をポチッと押していってしまうと、迷惑ソフト、アドウェア、ブラウザハイジャッカーなど不必要なソフトウェアが勝手にではなくどんどんインストールされてしまいます。

Search Protect … ブラウザハイジャッカー（イスラエル）
RegClean Pro … エラー警告で有償版の購入を迫る迷惑ソフト（インド）
System Speedup … 〃
MyPCBackup … 海外のオンラインストレージサービスの登録を勧誘するアドウェア（イギリス）
Advanced System Protector … ウイルス感染警告で有償版の購入を迫る迷惑ソフト（インド）
Buzz-It … 一般サイト上に広告を埋め込み表示するブラウザ拡張型のアドウェア（イスラエル）
Plus-HD … 〃
VuuPC 不必要なPC遠隔操作ソフト（イスラエル）

これらソフトウェアの導入はユーザーの手動で拒否が可能になってます。

この広告インストーラ setup.exe は、Adobe Flash Player ではなく最終的に VideoLAN が提供するフリーソフト VLC media player がインストールされました。

それに加えて、不要なソフトはユーザーに同意を取り付けて導入させるので、必ずしもウイルスとは言えないビミョーにグレーの脅威となります。

・ 川口洋のセキュリティ・プライベート・アイズ（49）：ウイルスとは言い切れない“悪意のあるソフトウェア” - ＠IT
http://www.atmarkit.co.jp/ait/articles/1405/08/news012.html

・ 国内検出台数トップを独占する「アドウェア」、その活動と被害とは - トレンドマイクロ
https://blog.trendmicro.co.jp/archives/9320

ユーザーごとに同時導入提案されるソフトウェアが異なるはだけど、インストール画面でわざと同意していった後の手元の状態はこんな感じ。

■ コントロールパネルの [プログラムと機能]

アドウェア、ブラウザハイジャッカー、迷惑ソフトだらけ

■ Program Files に作成された新規フォルダー

2014/06

迷惑メール三井住友銀行本人認証サービス？フィッシング詐欺誘導

関連するブログ記事