ORCA愉快日記
2013|04|
2008-08-16 msnbcを騙るspamが千客万来な件
_ [PC] msnbcを騙るspamが千客万来な件
「MSNBC Breaking News」を騙ったspamメールが増えているので調べてみた。以前、CNNを騙ったメールと同様の手口みたい。英語メールなので日本人はあまり引っかかりにくいかもしれないけど、これが日本のTV局とか新聞社とかYahoo動画ニュースなどのリンクになっていたりすると、引っかかる人間も多いんだろうなぁ。
そもそも、メールマガジンなどや個人的なメール以外で来る見知らぬメールは疑ってかかるべし、というのを個人レベルで徹底しないとダメなんだな。
□ spamメールの内容 メール本文中に出てくるリンクは、もちろんmsnbcに実在するものではなく ロシアやポーランド、チェコ、モロッコ、アメリカといったドメインの 偽装サイトへのリンクとなっている。 発信元は、ルーマニア、ブラジル、アメリカ、韓国、ポーランド、スペインといった 多国籍にわたって発信されており、ボットネット等が利用されているっぽい。□ メール本文中の偽装されたリンク先の例 ---------------------------------------------------------- http://207.234.220.124/msnonline.html http://72.47.210.78/msnonline.html http://albenahills.ru/msn_video.html http://avtopodarki.ru/msnonline.html http://clayovencaterers.com/msn_video.html http://firefly.com.ua/msnonline.html http://opbd.biz/msnonline.html http://pbkom.pl/msnonline.html http://thamirdawood.com/msn_video.html http://travelineipl.com/msn_video.html http://tvmonitoringservice.com/msnonline.html http://viwo-iraq.org/msn_video.html http://vodaksport.unas.cz/msn_video.html http://www.4x4.co.rs/msn_video.html http://www.matbroome.com/msnonline.html ---------------------------------------------------------- ちなみに、UNIX系メーラSylpheedで開くと、こんな感じにURL偽装の警告が出ます。
□ メールSubjectの例 ブリトニー・スピアーズやパリス・ヒルトンをネタにしたゴシップ風を装った ものから、God Accepts Responsability for Hurricane Katrinaのような 興味を引くようなネタ系Subjectが多い。 ---------------------------------------------------------- msnbc.com - BREAKING NEWS: Britney Spears And Michael Jackson To Write Parenting Book msnbc.com - BREAKING NEWS: Elvis is alive! Watch the proof. msnbc.com - BREAKING NEWS: Ford unveils latest 2 door design hatch msnbc.com - BREAKING NEWS: Gays Banned From Owning Pets In New York msnbc.com - BREAKING NEWS: God Accepts Responsability for Hurricane Katrina msnbc.com - BREAKING NEWS: Heather Mills Mccartney Arrested msnbc.com - BREAKING NEWS: Heather To Have Other Leg Removed msnbc.com - BREAKING NEWS: Ican To Shut Down Email Services World Wide msnbc.com - BREAKING NEWS: John Mccain Selects Laura Bush As His Vice President msnbc.com - BREAKING NEWS: Mike Tyson To Fight Michael Jackson msnbc.com - BREAKING NEWS: New Evidence Suggests That The President May Be Drinking Again msnbc.com - BREAKING NEWS: Obama Captures Osama msnbc.com - BREAKING NEWS: Paris Hilton Infested With Cockroaches msnbc.com - BREAKING NEWS: Paris Hilton Initially Denies Having Inverted Nipples msnbc.com - BREAKING NEWS: Paris Hilton: I Will Give My Body To The Winner Of The French Open msnbc.com - BREAKING NEWS: Polar Bear Finds Yoga Great For Flexibility, But Murder On The Balls msnbc.com - BREAKING NEWS: President Bush's iPod: The Complete Playlist msnbc.com - BREAKING NEWS: Right To Own Guns Upheld msnbc.com - BREAKING NEWS: Where Do Homosexuals Get All Their Energy ---------------------------------------------------------- □ リンク先サイトの内容 Firefoxで、プラグインのNoScriptを入れてJavaScriptを切った状態でアクセスしてみた。 偽装サイト警告が出て、危険なサイトであることを警告される。 JavaScriptを切っていない状態でサイトにアクセスすると、Flashのコーデックを 装ったダウンロードを繰り返し求められるので、アクセスする場合は要注意。
偽装サイトの見た目は、ヘッダ部分など本家のmsnbcとそっくりに作られているが 画面中央部にFlashムービーのリンクを装った画像があり、adobe_flash.exeなる 偽装された実行ファイルをダウンロードさせようとする。 また、JavaScriptを有効にした状態だと、確認ウィンドウや警告ウィンドウで ActiveX Objectと称した偽装された実行ファイルのインストールを執拗に求められる。
□ 参考URL トレンドマイクロ セキュリティBlog - スパムメール経由で侵入する偽セキュリティソフトの被害が増加中 http://blog.trendmicro.co.jp/archives/1657 トレンドマイクロ セキュリティBlog - 相次ぐニュースねつ造スパムメール、今度はMSNBCを詐称 http://blog.trendmicro.co.jp/archives/1640
[ツッコミを入れる]