月別アーカイブ: 11月 2011

これが「4クリック詐欺サイト」だっ! ウイルス配信型ワンクリック詐欺


 「4クリック詐欺」をやってた業者が逮捕されたそうです。
4クリック詐欺で男ら逮捕=暴力団資金源に流用か-千葉県警 (時事通信)
「4クリック詐欺」初摘発 登録料請求消せない画面 アダルトサイトで千葉県警 (千葉日報)

■詐欺(4クリック詐欺)事件で男5人を逮捕(生活経済課、船橋警察署、市原警察署、組織犯罪対策課、捜査第四課)
インターネット上のバナー広告に無料アダルトサイトを装って掲載し、利用者が年齢認証などの4クリックを実行することで、入会契約が締結して料金支払い義務が生じたように誤信させ、男性(69)らから現金を振込入金させた暴力団幹部の男(38)ら5人を11月22日までに逮捕。 《千葉県警察 最新事件・事故ファイル(2011/11/22)

 クリック回数なんてのは別にどうでもよくって、要は架空請求を行うワンクリック詐欺サイトをやってた1グループが捕まったということですな。現在普通に稼働してるワンクリック詐欺サイトを例に「4クリック詐欺」を紹介します。 笑いころげ

ワンクリック詐欺サイトの実例

  1. 年齢確認&業務PC確認
  2. 規約に同意するか
  3. 最終確認 (動画再生!)
  4. ファイルの実行を尋ねるブラウザ警告

 1~3番までは詐欺サイト上で用意されてる部品で、「はい」「いいえ」をクリックさせて選ばせます。3番をクリックすると、ブラウザ標準の警告通知が表示されます。そこには『この種類のファイルはコンピュータに問題を起こす可能性があります。』という文言ともに[実行][保存][キャンセル]ボタンの3択。ここで促されてるのは動画ファイルでも何でもなくウイルス(拡張子がHTAファイル)なので、[実行]ボタンを押してしまえば感染することをユーザーが許可することになります。

 4クリック””と思う人がいるかもしれませんが、感染するまで10秒もかかりません。途中で踏み止まれないのかというのも、エッチな映像を拝聴するという目標を達成するため、巡りに巡ってわざわざここまで遠征してきてるのでやめられない止まらないんでしょ。 号泣

ウイルスを実行して感染すると・・・
 上の詐欺サイトにて実際に配信されてるウイルス「movie001.hta」を普通に実行してパソコンに感染させました。 ウインク

有料アダルト動画エロサイトの登録入会料金支払請求画面が消えない! 駆除・削除・解除もダメ!?

 いちおう「Windows Media Player」が起動して卑猥な映像が再生されますが、それといっしょにデスクトップ画面の右下には消せないポップアップ画像『ご入会ありがとうございます!』も現れます。この画像の右上には×ボタンがありますが、押しても一時的に消えるだけで速攻で復活するダミーです。慌ててパソコンを再起動したとしても、この画像が起動時に表示されるようレジストリが改ざんされてしまってるので意味がありません。

アダルト動画サイトを開設した今年3~10月の間、全国の14~89歳の男女延べ約千人から約5千万円を詐取していたとみられ、県警が裏付けを進めている

 とのことで、感染後のどうにもならない状況に追い詰められ架空請求な料金5万円を支払ってしまう残念な方が1日に約4~5人の割合でいたということなんですねぇ。 幽霊

本物の電子署名付き証明書が埋め込まれたウイルス


 マレーシア政府の農業機関から盗まれた本物の電子署名付き証明書を埋め込んだウイルスが見つかったそうな。StuxnetとかDuQuは台湾のコンピュータ系メーカーの盗まれた電子署名でしたか。
政府機関から盗まれた証明書、マルウェアに利用される (ITmedia)
Malware Signed With a Governmental Signing Key (F-Secure Weblog)

http://www.virustotal.com/file-scan/report.html?id=b2aac98ec07bed90d8c1caf24605eccece8a953aef13ae0e02770e790e82f521-1314986049
http://www.threatexpert.com/report.aspx?md5=e9f89d406e32ca88c32ac22852c25841

 VirusTotalの結果に確かに↓が。

sigcheck:
publisher….: Adobe Systems Incorporated
copyright….: Copyright (C) 2010
product……: Adobe Systems Apps
description..: Adobe Systems Apps
original name: Adobe Systems Apps
internal name: Adobe Systems Apps
file version.: 8, 0, 12, 78
comments…..: Product of Adobe Systems
signers……: anjungnet.mardi.gov.my
Digisign Server ID (Enrich)
GTE CyberTrust Global Root
signing date.: 5:36 24/08/2011
verified…..: –

World of Warcraft (WoW)のフィッシング詐欺ページ


 迷惑メール(スパムメール)に振り分けられた中に、Blizzard Entertainment社が運営してるオンラインゲーム「World of Warcraft」(WoW)の偽ログインページに誘導するものが。アカウントハック目的のフィッシング詐欺ページを訪問~。デザインはまんま本物と瓜二つだけれど、URLアドレスを見ると.inのインドドメイン!? SSL認証の鍵マークもとうぜん無し。 笑いころげ

World of Warcraft のフィッシング詐欺ページ

 こちとらオンラインゲームの類はまったくやってません。別に「World of Warcraft」ゲームに限らず、ネットのWebサービスはパスワードが付きものなので注意が必要。Twitterのフィッシングでアカウントが乗っ取られ不正DMばら撒き騒動も。 ウインク
「パスワード ぼくだけ知ってる たからもの」 (IPA情報処理推進機構)
増え続ける「World of Warcraft」のアカウントフィッシング詐欺 (マカフィー)

衝撃! 一部の無料Androidアンチウイルスアプリが酷すぎる検出率!?


 セキュリティソフトの第三者比較評価機関AV-TESTAndroid向け無料アンチウイルスアプリのテストを行ったところ、インストール数の多さや評価レビューの高さとまったく相反するような酷い検出率のものもあったとか。。。 びっくり

オンデマンドスキャン
 直近5か月内に収集された不正なアプリ172種をSDカード上に置いて単純なファイルスキャン。あくまでアプリのデータが存在してるだけでAndroid端末にインストールされてるわけではないので、現実的な危険性は皆無。「Zoner AntiVirus Free」が最高の55種検知(検出率32%)。ちなみに、比較対象として有償のKasperskyとF-Secureは50%超えとのこと。

インストールテスト
 
30種のウイルススキャナを用意して、もっとも多く検出された上位10件の不正なアプリをAV-TESTが選出。これを実際にAndroid端末にインストールしてアンチウイルスアプリが導入を阻止してくれたかテスト。「Zoner AntiVirus Free」は8種をブロック、2種はユーザーがインストールしてしまうと感染状態に。ちなみに、比較対象として有償のKasperskyとF-Secureは全阻止とのこと。

メモメモ
 これは有償アンチウイルスアプリの宣伝ではなく、信頼の証と言えるインストール数や評価レビュー(5ポイントですべて4.2以上なん)では良いと判断できるものが、かたやウイルス対策機能そのもの性能を見ると「アンチウイルスアプリ」とはとても言い難いものが存在してるので注意が必要ということですな。アンチウイルスアプリの評価レビューは、単なるアプリの表面的な使用感(何となく問題は起こらず動作してる)なはずだから、こういうことになるんでしょうな~。 笑いころげ

  • Creative Apps Antivirus Free ← アンチウイルスアプリ!?
    この中でインストール数がもっとも多い(1.000.000 – 5.000.000)、評価レビュー4.5
  • Qstar GuardX Antivirus ← アンチウイルスアプリ!?
    この中でインストール数が2番目に多い(100.000 – 500.000)、評価レビュー4.6
  • Zoner AntiVirus Free
    この中でインストール数が3番目に多い(50.000 – 100.000)、評価レビュー4.6

セブン銀行の偽ページ – 日本語フィッシング詐欺サイト


 セブン銀行(sevenbank.co.jp)を装ったフィッシング詐欺! 不特定多数の人にメールがばら撒かれてるようで。セブン銀行の公式サイトでもトップ画面で下のような注意情報が。
セブン銀行を騙るフィッシング(2011/11/9) – フィッシング対策協議会

【緊急のお知らせ】2011年11月9日
セブン銀行を名乗りインターネットバンキング取引に必要な暗証番号等を騙し取るEメールにご注意ください。
セブン銀行との取引の有無にかかわらず、多数のお客さまに発信されています。このEメールは当社からのEメールではございません。絶対に返信やリンク先のWebページなどでパスワード・暗証番号などの重要情報の入力をしないでください。

 セブン銀行のフィッシング詐欺を行ってる偽ページを訪問。日本語表記でサイトの雰囲気はホンモノ風。ブラウザのURLアドレス欄を見れば一目瞭然。あとSSL認証の鍵マークもなし!

  • sevenbank.co.jp.nts.webscr.[BLOCKED].com/login/index.html
  • sevenbank.co.jp.nts.accounts.[BLOCKED].org/login/index.html

セブン銀行 フィッシング詐欺ページ