無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2015/02

| ✏️ Firefly

<詐欺>楽天市場の偽通販サイト見分ける方法URL確認

1573e4fd.png

先週、ショッピングモール 楽天市場 を巧妙に装った 偽サイト の存在についてニュースがありました。 

楽天市場を装う偽サイトやメール出現 楽天が注意呼びかけ (ねとらぼ)
偽サイトに個人情報を入力しないよう気をつけて。
https://nlab.itmedia.co.jp/nl/articles/1502/17/news112.html

海外のサイバー犯罪者が投入した 「注文した商品が届かない詐欺通販サイト」 は、実は尋常じゃない数量で存在するので、以前から公的機関も騙されないよう注意が呼びかけています。

イメージ 1
ここが危ない!インターネット通販 (東京くらしねっと3月号 より)

○ 情報セキュリティ広場 通信販売サイトでのトラブルにご用心! (警視庁)
実在する通信販売サイトを模倣したり、連絡先等を偽った通信販売サイトで商品を注文し、注文したものと異なる模倣品が届いたり、商品が届かず返金もされないというトラブルが多発しています。トラブルを避けるには、悪質な通信販売サイトかどうかを利用者が判断することが必要です。
https://www.keishicho.metro.tokyo.lg.jp/sodan/nettrouble/jirei/net_order_site.html
○ そのウェブサイト・通信販売事業者は信用できますか? 海外の事業者に関するトラブルが多発しています! (東京都)
インターネット通販で、ブランド物の雑貨や衣服などを購入したところ、「粗悪なにせものが送られてきた」「代金を支払ったのに商品が届かなかった」などの相談(通報)が消費生活センターや、悪質事業者通報サイトに寄せられています。インターネット通販は、消費者が気軽に欲しいものが見つけられ便利に買い物ができる反面、事業者との連絡手段が限られていることなどのリスクもがあります。また、なかには詐欺的なサイトもあるようです。「安いから」と言うだけですぐに申し込まず、事業者の情報をよく確認することが必要です。https://www.shouhiseikatu.metro.tokyo.jp/sodan/kinkyu/20131002.html

日本の通販ユーザーのすべてが詐欺通販のターゲットになっているにも関わらず、中には他人事のように考えている危なっかしいユーザーさんがいるかもしれません。

今まで詐欺通販にダマサれたことがない!」 (今後も 詐欺通販 に騙されることはない) は、完全に根拠不明の思い込みで、詐欺師は過去の被害歴なぞ知りようもないから見逃してくれることがありません。
詐欺通販と無縁と言っていいのは、こんな人たちだけです。

  • 実店舗で購入するだけでインターネット通販を一切やらない

  • インターネットに接続するパソコンやスマホを所持していない

楽天市場から画像を流用する偽通販サイト

去年 2014 年 9 月にセキュリティ企業のトレンドマイクロが 「Operation Huyao」 として紹介した 「オンラインショッピングモール」 に成りすましす不正な 偽通販サイト が稼働してたのでアクセスしてみました。

Operation Huyao:多数のなりすましフィッシングサイト確認 (トレンドマイクロ)
https://blog.trendmicro.co.jp/archives/9831

まずは 本物 の通販サイトのスクリーンショット画像です。

イメージ 2
本物の楽天市場トップページ 「rakuten.co.jp」

こちらが 偽物 の通販サイトのスクリーンショット画像です。

イメージ 3
偽物のトップページ 「***sell.com/ ~」

2 つを並べて比較すれば、細かい違いは分かるけれど、見た目の外観デザインは完全にソックリです。

というのも、この偽楽天市場は、楽天市場の画像やデータを攻撃者のサーバーに逐一コピーして、その状態を維持したまま偽サイト上でリアルタイム表示 する仕組みになっていました。

気づかずに 通販詐欺 にダマされるユーザーさんは後を絶ちそうにありません。

偽楽天市場を見分けるポイント 1 つ

迷惑メール (スパムメール) から誘導するオンラインゲームやネットバンキングを狙った フィッシング詐欺サイト と同じで、偽の通販サイトと本物の楽天市場は URL が異なります。

URLアドレスが rakuten.co.jp であることを確認

イメージ 4

画像や文章のコンテンツはコピペできるので、見た目で判断すると問題のある通販サイトを訪問してる異変に気づけません。

厄介なことに、楽天市場に成りすました偽サイトへ誘導する入口となっているのが、Google や Yahoo! JAPAN といった検索エンジンの 検索結果 です。

【楽天市場/楽天カード フィッシングサイトURL】
http://www.rakuten-card.co.jp.userid6368397417.rakutencardloginindex.webredirect[.]org/
http://www.rakuten-card.co.jp.userid4321729760.apploginphpgotomy.theworkpc[.]com/
http://www.rakuten-card.co.jp.userid9045048779.rakuten-cardhostingto.ddnsgeek[.]com/
http://www.rakuten-card.co.jp.userid5550608545.dnstojmyhostingltomyinfo.ddnsfree[.]com/
http://www.rakuten-card.co.jp.userid5028259506.dnswebhostfrom3.ddnsfree[.]com/
http://www.rakuten-card.co.jp.userid0801561964.dnsfromwebsitesno1.ddnsfree[.]com/
https://frd03.integ-sekure.wawanjp[.]com/
http://grp01.id.rakuten.co.jp.275bcd75e7217f0db297ff8bdd9602a0b26616d1[.]info/
http://rakuten.co.jp.in-sd5d4k4s8w1dth87gkse5e5ht878s7w5dsr5kl[.]monster/
http://www.rakuten.co.jp.y8bg2s90d8s30ke8s7r8t9m34g1[.]com/
http://myhostsitenetdnshostc.ddnsfree[.]com/
http://grp01.id.rakuten.co.jp.d758ba2f7a85b82f818e8fa5d63cfe8953cbc704[.]info/
http://myhostsitenetc.ddnsfree[.]com/
http://amazon.co.jp.serviceautomaticgoic.ddnsfree[.]com/sign_in.php
http://myhostsitenete.ddnsfree[.]com/
http://amazon.co.jp.serviceautomaticgoie.ddnsfree[.]com/sign_in.php
https://esculturaspersonalizadas[.]es/Rakuten/
http://rakuten.co.jp.66sdfrhedhjt54j5r45k4sr551y4r23qa1k56347u5563ol41e35214jw35[.]monster/
https://id.rakuten.co.jp.ddnsfromwebhostingslinks[.]xyz/
https://id.rakuten.co.jp.ddnsfromhostlinks[.]xyz/
https://id.rakuten.co.jp.ddnsfromhostlink[.]xyz/
http://rakuten.co.jp.qq7487487fjth4d1tr5415tg468k7534s1zr867dk78787stj78dk87yfk7[.]monster/
http://rakuten.co.jp.ww8677shj67j68554xn546j867ck74645xd686k7d786kc6kc7[.]monster/
http://rakuten.co.jp.789rethje87te8jt7rkry67kr5886s57jk89e7kl587u7k58w89r5y7mk89y7r5[.]monster/
https://rakuten.co.jp.shopheaderappliancednsfromweb[.]xyz/
https://rakuten.co.jp.shopsheaderappliancednsfromweb[.]xyz/
https://jp-rakuten[.]net/jp/
http://www.rakuten.co.jp.van-zia[.]com/rakuten.manage/
http://rakuten-id.co.jp-manage-account.manage-paypl[.]net/rakuten.manage/
http://u641193akz.ha004.t.justns[.]ru/rakuten.manage/
http://rakuten.co.jp.8789wergt7rwe7ah8957tjr9r76yk97u5t87k84967ki9875i98y7567io98[.]monster/
http://rakuten.co.jp.9689ea897ae789a7et9t7aete879te89a7t8a7e9ate78aet789tdg648r7[.]monster/
https://rakuten.jp-loginserviceid-dns3fromwebhosting[.]monster/loginservice.php
http://grp02.id.rakuten.co.jp-loginserviceid-dns2fromwebhosting[.]monster/loginservice.php
https://turboterium53[.]com/Rak/jp/
http://rakuten.co.jp.9789hte87j89rs74y9mk8yr789mk748ry74k85748rtu74e8t7j8r7t7jer8t7[.]buzz/
http://rakuten.co.jp.69689hert8es74tj874rs89t674k874y78kl7y874s87l8tu748e7l86etj89[.]monster/
https://thegreatoutdogs[.]com/Rak/Rak/jp
http://rakuten.co.jp.dnsfromwebhosting4.jp-rmsnidloginfwdi-dns5fromwebhosting[.]xyz/login.service.do.php
https://rakuten.jp-rmsnidloginfwdi-dns1fromwebhosting[.]xyz/login.service.do.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanageb[.]xyz/k/login.service.p.php
http://rakuten.co.jp.linkdnsfromwenhostinga.jp-linkdnsfromwebhostinglinkaccountmanaged[.]xyz/k/login.service.j.php
http://rakuten.co.jp.linkdnsfromwenhostinga.jp-linkdnsfromwebhostinglinkaccountmanagec[.]xyz/n/login.service.a.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanagec[.]xyz/g/login.service.y.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanagee[.]xyz/g/login.service.j.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanage3[.]xyz/l/login.service.v.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanage4[.]xyz/b/login.service.a.php
http://rakuten.co.jp.linkdnsfromwenhostingx.jp-linkdnsfromwebhostinglinkaccountmanagea[.]xyz/o/login.service.b.php
https://rakuten.jp-linkdnsfromwebhostinglinkaccountmanage1[.]xyz/j/login.service.s.php
http://www.rakuten.co.jp.dnslinkfromk.jp-usermessagesendfromweblink6[.]xyz/g/login.service.e.php
https://rakuten.jp-usermessagesendfromweblink1[.]xyz/w/login.service.d.php
http://grp02.id.rakuten.co.jp.23ed3f978a5e1dbec9fe23c48b7ebc9e7b96a355[.]xyz/
https://rakuten.jp-usermessagesendfromweblink0[.]xyz/d/login.service.m.php
http://rakuten-id.co.jp-manage-account.yayforn[.]fr/rakuten.manage/
https://rakuten.jp-usermessagesendfromweblink3[.]xyz/j/login.service.x.php
https://rakuten.jp-usermessagesendfromweblink7[.]xyz/m/login.service.r.php
http://grp01.id.rakuten.co.jp.98f8a5b78765b5a65e87bcd0ef454c3368f15c33[.]info/
http://www.rakuten.co.jp.aplicationserverspointd.jp-aplicationtokendnslinkfromwebhostingnum0[.]xyz/0/j/l/gredirct.service.a.php
https://rakuten.jp-aplicationtokendnslinkfromwebhostingnum5[.]xyz/1/e/m/gredirct.service.s.php
https://rakuten.jp-aplicationtokendnslinkfromwebhostingnum9[.]xyz/8/i/c/gredirct.service.r.php
https://rakuten.jp-aplicationtokendnslinkfromwebhostingnum0[.]xyz/0/j/p/gredirct.service.d.php
https://rakuten.jp-aplicationtokendnslinkfromwebhostingnum6[.]xyz/2/t/w/gredirct.service.a.php
http://www.rakuten.co.jp.aplicationserverspointo.jp-aplicationtokendnslinkfromwebhostingnum3[.]xyz/3/c/f/gredirct.service.l.php
http://www.rakuten.co.jp.aplicationserverspointcodei.jp-aplicationtokendnslinkfromwebhostingcode2[.]xyz/0/b/h/gredirct.service.b.php
http://www.rakuten.co.jp.aplicationserverspointcodey.jp-aplicationtokendnslinkfromwebhostingcode5[.]xyz/6/f/j/gredirct.service.c.php
http://va7410963025810.gebuhrenffrei[.]com/corona.png

関連するブログ記事

タグ :
#ネットサービス
このエントリーをはてなブックマークに追加

| ✏️ Firefly

<危険>B-CASカード改造で730台ウイルス感染 WOWOW無料視聴?

WOWOW無料視聴を餌に不正なB-CASカード改造ツールでWindowsパソコン730台がバックドアやランサムウェアの感染被害。ウイルス実行ファイルのダウンロード数、容疑者摘発ニュース。

2015年2月、不正な改造を施したB-CASカード を使用しているテレビ機器に対して、有料チャンネル WOWOW の視聴をできなくして、海賊行為にメスを入れる対策が実施されたとか。

WOWOWが改造B-CASカード対策を実行、との噂 - スラド
https://srad.jp/story/15/02/09/0356232/


改造ツール装いコンピュータウイルス配布

この B-CASカードの海賊版対策の出来事に便乗して、Windowsパソコン をターゲットに ウイルス感染 を狙った事件が発生しているので紹介します。 

不正改造B-CASツールでアップローダにGamarueウイルスの実行ファイル
 とあるアップローダサイトに公開されたナゾの実行ファイル

ファイル名 wowow_free.exe
MD5ハッシュ値 0b020965a93441960c1f2655cbb3edec
www.virustotal.com/ja/file/f343c96e3b996e3a82cea454419f00b100888d8f7195a62b29f6fc03413f0825/analysis/1424408770/
【セキュリティソフトのウイルス検出名例】
avast Win32:Malware-gen
Avira TR/Gamarue.A.1160 HEUR/AGEN.1109959
ESET Win32/TrojanDownloader.Wauchos.AF
Kaspersky Backdoor.Win32.Androm.giad Trojan.Win32.Inject.sbot
McAfee RDN/Generic BackDoor!bbw Artemis!0B020965A934
Microsoft Worm:Win32/Gamarue
Symantec Trojan.Asprox.B
Trend Micro BKDR_ANDROM.YYYF

WOWOW を無料視聴できるようにする改造ツールの名目で配信された実行ファイル wowow_free.exe」 の正体は、Windows 向けマルウェアです。

バックドア
Win32/Gamarue

実行ファイルのダウンロード数が約 1,600 を指し示していて、ダウンロードしたユーザーさん方、ガチのコンピュータ ウイルスを入手して大丈夫でしょうか。。。


Gamarue ウイルスとは?

以前から、アンダーグラウンドのブラックマーケットで販売されているクライムウェアAndromeda Bot」 として知られており、ウイルスを開発するプログラミング知識がなくてもボタン 1 つで不正な実行ファイルを作成できるシロモノ?

  • Andromeda Bot
    ウイルス作成ツールの商品名

  • Gamarue
    セキュリティ会社が名付けた脅威の名称


[2016年2月 追記...]

Windows パソコンをターゲットに、PC のストレージ内のファイルを暗号化して破壊してから身代金の支払いを要求する ランサムウェア が投入されています。

ランサムウェア開発キット 「TorLocker」 としてブラックマーケットで販売されているクライムウェアから生み出されるランサムウェアとなります。

ファイル名 CardTool.exe
MD5ハッシュ値 b71e04980df665b1254174616e4492be
www.virustotal.com/ja/file/b08c196a2089afa79469e5d6ddf6610204b4894945b8370f0134c8c00dbea97e/analysis/1418137867/
【セキュリティソフトのウイルス検出名例】
avast MSIL:GenMalicious-CQR
Avira HEUR/AGEN.1000697
ESET MSIL/Injector.GRB
Kaspersky HEUR:Trojan.Win32.Generic
McAfee BackDoor-FCOB!B71E04980DF6
Microsoft Ransom:Win32/Critloki.B
Symantec Trojan.Gen.2 Ransom.Cryptolocker

アップローダサイト上に、「B-CASカードの不正改造ツール」 と称した zip 形式の圧縮アーカイブ、あるいは実行ファイルが公開されていて、ユーザーさんに手動ダウンロードさせて、実行ファイル (拡張子 .exe) を起動してもらう自爆感染です。

ファイルサイズ 6.7 MBという異常な大きさですかい。

イメージ 2
 ダウンロード数 8,468

イメージ 3
 ダウンロード数 1,004

ファイルのダウンロード数が 8 千件にも達しています。


<追記...>

メディアの報道によると、この一連の遠隔操作ウイルスやランサムウェアの作成・配布に関与した可能性がある容疑者が警察に逮捕されたとのことです。

高1、アカウント不正入手 ネット銀など1800件 容疑で書類送検 - 東京新聞
サイバー犯罪対策課によると、少年はテレビの有料放送を無料で見られるようにする「B-CAS(ビーキャス)改造ツール」を装って、遠隔操作ウイルスをインターネット上にアップした。ダウンロードした約七百三十人分のパソコンに感染させ、ネット通販やネット銀行で使う他人のアカウント約千八百件を入手していた。
少年は不正入手したアカウントが実際に使えるかを不正アクセスで確かめた上、ネット掲示板で販売し、仮想通貨ビットコインで約五万円を得ていたという。同課は、ネット通販などで被害がなかったかどうか実態を調べる。
 http://www.tokyo-np.co.jp/article/national/list/201602/CK2016020502000243.html
ウイルス拡散 1800人分の情報入手か 容疑の高1書類送検 - 日本経済新聞
同課は730台のパソコンを感染させ、通販サイトやインターネットバンキングのID・パスワード延べ1800人分を入手したとみている。
送検容疑は2015年6月、衛星放送などを無料で視聴できるツールと偽り、遠隔操作ウイルスをネット掲示板に仕込み、東京都内在住の40代男性にダウンロードさせて感染させた疑い。また、14年12月から昨年6月、パソコン内のデータをロックし、それを解除すると称して金銭を要求する身代金要求型ウイルスをネット掲示板に仕込んだ疑い。
同課によると、男子生徒は感染端末から不正入手したID・パスワードをネット上で転売。代金は仮想通貨「ビットコイン」で支払わせていた。男子生徒のパソコン内には5万円相当のコインが残っていたという。男子生徒は他人のID・パスワードを使い、オークションサイトで高級腕時計を2600万円で落札したこともあったという。
http://www.nikkei.com/article/DGXLASDG05H3D_V00C16A2CC0000/

IE11、Chrome、Firefox ブラウザにはユーザー名とパスワードを保存する オートコンプリート機能 が実装されています。

今回、投入された Gamarue ウイルスは、そのオートコンプリートのデータを盗む機能があり、機密情報を外部に流出する被害を喰らったユーザーさんが使う Windows パソコン 730台。

B-CAS カードで釣られて感染したユーザーさんが、こんなにもいる地獄。。。

関連するブログ記事

このエントリーをはてなブックマークに追加

| ✏️ Firefly

Security Defender駆除削除方法 ウイルス感染経路と無料対策は?

イメージ 5

偽セキュリティソフト(FakeAV) は、ウソのウイルス検査でデタラメな感染警告を示してパソコンの操作を妨害し、解決するための有償版を購入するよう脅迫する コンピュータウイルス の1種です。

イメージ 1

イメージ 2

次のように名乗るシロモノは、Windows パソコンをターゲットにした 偽セキュリティソフト に分類されますます。

  • Security Defender
    (セキュリティ・ディフェンダー)

  • System Defender
    (システム・ディフェンダー)

ソフトの名称や外観デザインは、もっともらしい Microsoft関連ソフト っぽく見せかけてるものの、Windows ユーザーさんをダマすため セキュリティソフト に偽装してるだけです。

イメージ 4
PayPal、xHamster、Visa のサイトを開く挙動も…

ちなみに、過去2012年とか2013年に同じ名前の偽セキュリティソフトが確認されてるけど、たまたま被ってるだけで種類は別モノです。


Security Defender 感染経路・原因と対策は?

System Defender ウイルスは、主に2パターンの感染経路があります。

  1. ユーザーの意思で実行ファイル .exe を手動で起動して自爆感染する

  2. ネットサーフィン中に ドライブバイ・ダウンロード攻撃 を喰らって勝手に強制インストールされる

1番は英語表記の 迷惑メール(スパムメール)の添付ファイル、ネット上の 偽更新ページ などで配布されてる不正なファイルを手動で起動するパターンです。
 

2番はハッキングされた一般サイトをたまたま閲覧したり、侵害された広告配信サーバーが裏でコッソリ読み込まれて、何ら確認する場面なく強制インストールされるパターンです。

↓ウイルス感染条件のうち1つでも当てはまればアウト!

  1. 毎月定例更新の Windows Update を実施してない

  2. Adobe Flash Player を最新版に更新していない

  3. Java や Adobe Reader を最新版に更新していない

日本での大口感染経路はたぶん2番のはずで、セキュリティソフト の導入有無に関係なく、ウイルス対策せずにウイルス感染経路 を放置してると危険です。


Security Defender 削除する駆除方法

まんまコンピュータウイルスなので、Windows のコントロールパネルからアンインストールする手段なぞ用意されてません。

【1】

Windows パソコンを セーフモード で起動します


【2】

レジストリエディタを起動 して、偽セキュリティソフトがパソコン起動時に立ち上がるよう指示してるパラメータを削除します

イメージ 3

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
名前 → ランダム文字列 (アルファベット小文字 + 長さ10文字ほど)
データ → C:\Users\[ユーザー名]\AppData\Local\[ランダム文字列].exe

(データのファイルパスは、偽セキュリティソフトの実行ファイル本体になるので、後で検体ファイル回収や手動削除したかったらパス控えておくといいかも)


【3】

パソコンを再起動して通常モードに戻します


【4】

Internet Exploreブラウザを起動し、[ツール](歯車マーク) → [インターネットオプション] → [接続]タブ → 下部の [LANの設定]ボタン をポチッとな
 
プロキシサーバー項目の [LAN にプロキシ サーバーを使用する(これらの設定はダイヤルアップまたはVPN接続には適用されません)] にもしチェックマークが入ってたら手動で外しておいて、[OK]ボタンをポチットな

 
【5】

偽セキュリティソフトや、それ以外に感染してるやもしれんコンピュータウイルスを検査するため、無料で使えるウイルス駆除ツール でスキャンします

関連するブログ記事
タグ :
#Windows
このエントリーをはてなブックマークに追加

↑このページのトップヘ