無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、Windows の小ネタを書いているブログです (*^ー^)ノ

2016/11

私はある国際企業の人事マネジャー迷惑メール 目的はマネーミュール求人募集
 
イメージ 1
サイバー銀行強盗のお仲間募集中!?
(Image いらすとや)
 
ネットバンキングの口座から盗まれた預金を海外口座へ移動させる役目を担う お金の運び屋「マネーミュール の人材をリクルートする日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
■ 迫田さんのツイート: "怪しいメール到着。異常な日本語。針千本飲ます。「私はある国際企業の人事マネジャーです。当社は日本で積極的に展開しています。そのため当社は様々な都市と県で、日本における代表者として働いてくれる常勤雇用従業員を募集しています。2017年から2018年にかけて、100以上もの…」"
https://twitter.com/rinmuku/status/801601768849190912

■ かも.さんのツイート: "私はある国際企業の人事マネジャーです。当社との提携をご提案させていただきます。あなたのお知り合いが当社にあなたのeメールアドレスを提供しました。彼はあなたを切れ者で勤勉な人物だと推薦してくれました。というURLがないメールがきた( ̄∀ ̄;)千手観音なボクのこと?彼の目は腐りすぎ"
https://twitter.com/damenakamo/status/801580321367937024

 
■ 井上さんのツイート: "ある国際企業に勤めるという人物からメールがきて、巨額の報酬を約束するからうちに来てほしいと言われています。迷惑メールなのはわかっているけど、誰かが僕を「切れ者で勤勉な人物」と推薦してくれた部分だけ信じていい気分になろう。"
https://twitter.com/inomsk/status/801575023525756929

■ ロコ・ストライプさんのツイート: "某大手国際企業とやらで働いてる人からメールがきた。一ヶ月間は研修期間で報酬が5000-10000ドルなんだそうだ。研修が終わると10000ドルは確実らしい。最近のスパムは凝ってるなぁ"
https://twitter.com/roko_6th/status/801595039205900288

■ 知らない女性から、件名にローマ字の男性名、用件が書かれたメールが届きました。これはなんでしょうか? 内容は以下の通りです。本文には署名・所属・連絡先がありませんでした。
私はある国際企業の人事マネジャーです。現在当社はアジアと日本で積極的にビジネス開発を行っています。現在当社は日本の様々な都市で支店長として働いてくれる従業員を多数募集しています。2017年から2018年にかけて、100以上もの事業所や支店のオープンを計画しています。…
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14167185399
報酬に目がくらんで相手に返信し、仮にも雇用契約を結んで指示された ”仕事” をやってしまうと、海外のサイバー犯罪者による不正送金に加担した結果としてお縄になるので超注意!
 
不正送金アルバイトに注意 警視庁
http://www.keishicho.metro.tokyo.jp/kurashi/cyber/notes/money_mule.html
 
資金洗浄に加担、海外に送金 「マネーミュール」県内初摘発 神奈川 - 産経ニュース2014年
http://www.sankei.com/region/news/140711/rgn1407110079-n1.html
 

 
[追記...]
■ しゃりあさんのツイート: "こんなメールがきたw “私はある大企業のスポークスマンです。現在当社はアジアと日本で積極的にビジネス開発を行っています。現在当社は日本の様々な都市で支店長として働いてくれる従業員を多数募集しています。” 以下略w とってもステキな釣りメールw"
https://twitter.com/shariabull/status/801574681509646336
 
■ 召使@足がひえひえさんのツイート: "【私はある大企業のスポークスマンです。当社は日本で積極的に展開しています。そのため当社は様々な都市と県で】という内容から始まるメールは詐欺メールなので、受け取られた方はご注意ください。一応、注意喚起しておきます。"
https://twitter.com/_saikun_/status/801629374176903168

■ ニコマルさんのツイート: "最近のウイルスメールは、バラエティあって面白いなぁ。 ただ、大企業のスポークスマンがフリーアドレスは使わんやろwww"
https://twitter.com/nico_mapp/status/801612523480891392
『私はある大企業のスポークスマンです』ってなバージョンもあるみたい。
関連するブログ記事
このエントリーをはてなブックマークに追加

ネクソン迷惑メール ご登録パスワード変更完了のお知らせフィッシング詐欺注意
 
イメージ 3
Image いらすとや
 
オンラインゲームサイト NEXON(ネクソン) からのパスワード変更通知を装って不特定多数にバラ撒かれる日本語表記の 迷惑メール(スパムメール) にご注意あれ! <メールの差出人は偽装されてる~

件名 【Tree of Savior】ご登録パスワード変更完了のお知らせ
差出人 NEXON <info@nexon.co.jp>

■■■■■■■■■■■■■■■■■■■■■■
ご登録パスワードの変更完了のお知らせ
■■■■■■■■■■■■■■■■■■■■■■
このメールは登録パスワードを変更された方へのメールです。
====================================
確認のためにメールを送信しています。
お客さまご自身で変更した場合は、このメールを無視しても問題ありません。

お客さまご自身で変更していない場合は盗用の可能性がございます。
至急以下のURLをクリックしてください。
 (PC?スマートフォンからご利用ください。)
https://www.nexon.co.jp/mypage/?utm_medium=mail&utm_source=l-alert-ip-normal
※このメールアドレスに返信頂きましても、ご返答はできませんので、
お問い合わせはNEXONヘルプのサポートフォームよりお願い申し上げます。
URL : https://www.nexon.co.jp/mypage/login-record/
 ------------------------------------------
 無料ゲームやRPG?友達を探すなら!
  URL : https://www.nexon.co.jp/
日本人が使うメールアドレス宛てに無差別送信されてるようで、多くのユーザーにとって見に覚えながないはず…。
 
ってなところに、心理的に焦らせる衝撃的な 『お客さまご自身で変更していない場合は盗用の可能性』 というメッセージで頭の中は真っ白、メール本文中のURLアドレスをポチッと踏んでしまう魂胆です。
 
【重要】ネクソンを装ったパスワード変更完了フィッシングメールにご注意ください - お知らせ|Tree of Savior
http://tos.nexon.co.jp/players/news/280

誘導先はネクソンの偽ログインページ

誘導先はネクソンの MMORPG「Tree of Savior」(ツリーオブセイヴァー) の不正な 偽ログインページ です。 <URLは正規ドメイン nexon.co.jp ではない!
 
イメージ 1
フィッシング詐欺の見分け方はブラウザのURLアドレスに注目
 
外観デザインは完璧に偽装されており見た目で判断すると偽サイトに気づけません。
 
【フィッシングサイトURLアドレス例】
http://www.nexon-tos[.]com/
http://www.nexon-loginm[.]com/
http://www.nexon-login[.]com/
www.virustotal.com/en/ip-address/122.10.88.212/information/  香港サーバー
 
ここでユーザーが入力し送信してしまった ネクソンIDパスワード の組み合わせを盗みとる フィッシング詐欺 で、オンラインゲームのアカウントハック狙いと。
 
イメージ 2
tj.phpファイルに送信後、正規ネクソンサポートページへ移動
 
仮にも、オンラインゲームを始めいろんな ウェブサービスで同じパスワードをテキトーに使い回し してるユーザーさんが引っかかると、不正アクセスの連鎖で大変なことになるでしょうなー。
関連するブログ記事
このエントリーをはてなブックマークに追加

拡張子osiris/zzzzz/aesir変更 Lockyウイルス迷惑メール&添付ファイル感染に注意
 
Windowsパソコン を攻撃ターゲットにファイルを暗号化して、復元するための身代金ビットコインを要求するランサムウェア Locky ウイルスの続報です。
 
2016年11月21日より破壊ファイルの目印として、新たな拡張子~.aesir」 へ変更されました。
 
イメージ 1
32ケタ英数字+拡張子.aesirファイル、アイコン画像は白紙に 
Aesir 〔北欧神話〕 アシール,アサ神族:Odin に率いられ Asgard に住んだ主神たち
dictionary.goo.ne.jp/ej/1221/meaning/m0u/aesir/
ランサムウェア感染経路 の1つは 英語表記の迷惑メール(スパムメール) で、たとえば 米アマゾンの商品発送、invoice(請求書)、コピー複合機のデータ受信、税金の督促通知、といった広告的な要素を排除した内容を装ってます。 <スパムフィルタのスリ抜けが起こる
 
イメージ 4
Locky感染! 添付ファイル付き迷惑メールの実例
 
【迷惑メールの件名例】
Your Amazon.com order has dispatched (#[数字]-[数字]-[数字])
Invoice for [数字] 21/11/2016
Please find attached invoice no: [数字]
Message from KMBT_C220
Spam mailout
Receipt 
Invoice [英数字]
Delivery status
Abax UK Invoice [数字]
Documents Requested
Re:Documents Requested
FW:Documents Requested
Message from "RNP[英数字]"
Please note
Scan from office
https://blogs.yahoo.co.jp/fireflyframer/34385904.html

添付ファイルの中身はスクリプトファイル

メールには ZIP形式の圧縮アーカイブ が付いていて、この添付ファイルを手動で展開・解凍すると、中から不正なスクリプトファイルが登場します。
イメージ 3
 
イメージ 2
 
イメージ 5
 
イメージ 6
ダブルクリック厳禁! 危険なスクリプトファイル
 
この.jsファイル、.wsfファイル、.vbsファイルをWindowsパソコン上でポチポチっとダブルクリックして開いてしまうと一貫の終わりです。
 
外部ネットワークから Locky 本体ファイルが強制的にダウンロードされてきてシレッと起動し感染となります。
 
【Locky .aesirのウイルススキャン例】
www.virustotal.com/ja/file/9ce9ba52643c7f37b9f54c31f5e319db7c799a168744f3b5be7f4638e2ef52c4/analysis/1479736903/
 

 
[11月26日 追記...]
 
ランサムウェア Locky ウイルスによる暗号化でファイルを破壊した目印の拡張子は2016年11月24日より 「~.zzzzz」(zが5つ) の変更へもう切り替わりました。
 
イメージ 7
ウイルス感染でファイル名&拡張子が変更された状況
 

 
[11月31日 追記...]
 
2016年11月29日から英語の 迷惑メールの添付ファイルとして不正なOfficeファイル も投入されてます。
 

【迷惑メールの件名例】
Please find attached a XLS Invoice [数字]
File COPY.29112016.[数字].XLS Sent 29/11/2016
Message from RNP[英数字]
Attached Image
Message from KMBT_C220

 
いわゆる マクロウイルス と呼ばれる脅威です。
イメージ 8
 
イメージ 9
不正なマクロ入りOfficeファイル .xlsm & .docm
 
あらかじめ Microsoft Office の設定を変更する↓無料ウイルス対策で、ランサムウェアを侵入させず攻撃を確実に失敗に終わらせることができます。
 

 
[12月9日 追記...]
 
イメージ 10
ハイフン除く36ケタ英数字.osiris
 
ランサムウェア Locky ウイルスによる暗号化でファイル破壊の目印は2016年12月5日から次のように変更されました。
  • 拡張子の変更 → 「~.osiris」(オシリス)
  • 脅迫文ファイル → DesktopOSIRIS.htm OSIRIS-[4ケタ英数字].htm OSIRIS.htm
Wikipedia によると osoris は『古代エジプト神話に登場する神の一柱(=1人)』だそうです。

ランサムウェアの感染を回避する無料ウイルス対策

Lockyウイルスに感染したくないなら、理想では 『怪しいメールを開くな!』『怪しいファイルを開くな!』 です。
 
ただ、現実は厳しく不正なものと気付けないユーザーさんが踏み抜く ので、それを見越してランサムウェアを侵入させることなく攻撃をほぼ100%失敗に終わらせる↓無料ウイルス対策があるのでどぞ。
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ