 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| Home > Security > フィッシング詐欺 > フィッシング実例 | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| Home > Security > フィッシング詐欺 > フィッシング実例 | |||||
筆者宛に送られてきたPhishing(フィッシング詐欺)の実例を公開することで、予防と対策に少しでも役立てていただきたいと思いこのページを作成する。
ほとんどのメールは以前公開していたyahoo.comのメールアカウントに送られてきたものである。そのため日本人を対象とした詐欺メールではないようだ。米国のほうがフィッシング詐欺の件数が多いのでyahoo.comのメールアカウントは情報の収集やVirusメールの収集に非常に役立つ。
Phishing詐欺メールはhtmlメールで送られているので、本来はちゃんと画面に画像と文字が表示されているが、ここでは手口を示すためにhtmlソースで示す。また同じような手口であれば画像のほうが面白いので筆者の気分により画像公開とする。
| 件名 | BANK MAIL FROM SunTrust Bank |
| 内容 | <html> <p> <font face="Arial"> <AhRef="http://www.suntrust.com/personal/Checking/OnlineBanking/Inerenet_Banking/security.asp"> <map name="FPMap0"> <areacoords="0. 0. 646. 437" shape="rect" href="http://%31%39%35%2E%31%34%36%2E%39%39%2E%31%38%30:%38%37/%73%74/%69%6E%64%65%78%2E%68%74%6D"> (注意:コードを通常の表記に直すとhttp://195.146.99.180:87/st/index.htmになる) </map> <img SRC="file:///C:\DOCUME~1\xxxxxx~1\LOCALS~1\Temp\B2Temp\Attach\41a32bcf.gif"border="0" usemap="#FPMap0"> </A> </a> </font> </p> <p> <font color="#FFFFF7"> IRS ??? ??? children are Brittany Murphy: The point is catch me Bands Ask over there What's wwrong? in 1966 XFL Let me do it Windows 2000 No. i'm sorry ????? X Files in 1857 Keep calm! Linux don't get upset! in 1923 to leave a message in 1895 How are you? Radio </font> </p> </html> |
添付ファイルとしてGIFファイル(41a32bcf.gif)が付いてくるが、AntiVirusがTrojan horse TR/Phish.BankFr.emlを検出している。GIF画像のmapタグで定義されているLink先のアドレスはczドメインらしい。
htmlのコードからGIF画像には「http://www.suntrust.com/personal/Checking/〜」のリンクが設定されているのでマウスカーソルをGIF画像上に持っていったときにステータスバーやプロパティで表示されるリンク先は本物の銀行のURL(http://www.suntrust.com/personal/Checking/〜)である。しかし実際に飛んでいく先はGIFのmapで定義されたhttp://195.146.99.180ということになる。
しかし気になるのは「めちゃめちゃ」な英文で意味がわからない本文の方だ。
| 件名 | Citibank e_mail verification |
| 内容 | <img src="file:///C:\DOCUME~1\xxxxxx\LOCALS~1\Temp\B2Temp\Attach\41abe59a.jpg"> <br><br> <a href="http://www.google.com/url?q= http://www.google.com/url?q= http://www.google.com/url?q= %25%32%35%25% 〜〜〜とあまりに長いので省略 | | 5%25%33%37%25%33%35 ">www.citibank.c om/?IIfyb1VjVLlGHMkWijqI6o6n6323r7mhSLHr1Bpx0VgRQt50Hsxo78ds</a> <br> <br> <<添付されていた画像>>  |
URL表記の脆弱性をついたリンク先の偽装を行うの手法を用いた古典的な詐欺メールである。しかし添付ファイルの字が汚くて、しかもスキャナで取り込んだときに紙が折れ曲がっていたのか字が歪んでいる。なんだか手書きのメモを黒いコートを着た人からすれ違うときに渡されて「あんた尾行されてるよ!」って書いてあったみたいなパターンを狙っているのだろうか?
こんなヘタ文字のメールを送ってくるCitibankのサーバがあれば一度お目にかかりたいと切に願う。
と思っていたら、メッセージの画像をやめて、ちゃんと?文字列データとして送ってきたメールも来た。やはり手渡しメモ風のメッセージに引っかかる人は少なかったようだ。
一日1通は来るSunTrust銀行を騙ったメール。今度はちゃんと画像つきで紹介する。HTMLメールでは左図のSunTrustというロゴから(C)2004
SunTrust Banks,Incまでが大きなGIF画像になっている。GIF画像にLinkの指定と例1と同様にmapタグでSunTrust銀行とは異なるLinkが指定されている。今回はLink先が
http://69.144.41.100:87/su/login.htmlに変っていた。HTMLの内容は例1と同じ。
例1のメールもそうだが、なぜか最下段(青色で反転しているところ)にはわけのわからない英文が書いてある。内容は「Romeo
Snowboarding Just tell would you like in 1830 NFL Academy Awards Bradley
Chait What's your viewpoint Chrono Cross in 1879 Star Wars why do come
on! fine papa what do you do? in 1954 What's the difference? why do You'll
see in 1922 No, i'm sorry when were you born? Cheers」だ。どうもこの手のメールは変な英文をつけるのが癖のようだ。
悲しくなるようなチープな仕掛けのメールが来た。いつものようにSuntrust銀行もどきからである。内容は「あなたのカードが危険なのでログインして再確認してください」というようなもの。Linkに示してある「https://internetbanking.suntrust.com/index.html」の実際のLink先は「http://210.127.248.88/online/index.php」になっているのがステータスバーで確認できる。筆者が最初にこのメールを見たとき「これってPhishingなのか?」と疑ってしまったくらい幼稚な仕掛けである。
IPアドレスはKoreaであった。メールのヘッダはSunTrustのように見えるように工夫してあったのだが、送信元IPはKoreaだし、それ以前に本文がダメである。
せっかくなのでサイトを訪れてみた。見事にSuntrust.BankのページをCopyしていることがわかる。
右の真中に「CIN/User ID」と「Password」の入力項目がある。ここでIDとパスワードを盗もうとしているのだ。
実際のSuntrustの該当ページはSSLでURLはhttps://internetbanking.suntrust.com/になる。
ではこのページの情報を表示させて内容を検討しよう。筆者はFirefoxを使っているので、フォーム(入力項目)の確認がIEよりも格段にわかりやすい。
Sign_Onのボタンは210.127.248.88のサーバに送られるが、SignOffはSuntrustに本物サイトに送られることがわかる。つまりこのサイトがフィッシングサイトであるということがはっきりとした。
CIN/User IDとPasswordを盗むために「Sign On」の機能のところは詐欺サイト、他の部分はSuntrustそのままの内容になっているということだ。このようにマウスの右クリックからページの情報を参照することで詐欺サイトの判定がおこなえることがお解かりいただけただろうか?
ぜひ擬似詐欺サイトでページ情報を確認を体験して欲しい(参考資料:詐欺サイトの疑似体験と対策方法について)
同様にページの画像やボタンはどうなっているのか。ページ情報のリンク項目で確認する
本物のSuntrustに多くのリンクが設定されていることがわかる。つまりフィッシング詐欺サイトは本物のサイトのコンテンツを表示することで、より本物らしく見せかけている。「Sign
On」以外のボタンはそのまま本物のSuntrustへ繋がっているし、情報も送っているのだ(リダイレクトしている)。
SunTrustもこれは大変だと思ったのだろう。詳細な対策と上記のような事例を自サイトで紹介している。国内の金融機関も早く本格的な対策に乗り出してほしいものだ。
Washington Mutual(Washinton生命保険)を名乗っているがイタリアから送られてきたメールである。赤線のリンクは「203.196.231.53」(インドのIP)になっている。
下にある"Investor Relations"などのリンクは本物サイトが設定されている。
せっかくなのでインドにあるという詐欺サイトを訪問してみた。
しかしメールの送信元がイタリアで、詐欺サイトがインドとはインターネット詐欺も本当にグローバルな環境で行われているのだと実感する。
下にある本物サイトの画像を比べてもらえばわかるが、フォントの大きさは違っている(CSSの設定が違うようだ)が見た目は同じように見える。画像ファイルは全て詐欺サイトにCopyしたものを表示している。一番の違いは左上に「secure」と鍵マーク付きで表示されているが、実際にはSSLにはなっていない。従ってステータスバーの赤枠の鍵マークは掛かっていない。
こっちが本物サイト。上の詐欺サイトの内容と比べると、詐欺サイトのほうがきれいに見えてしまう。細かな違いはあるがほとんど同じと言ってよいだろう。なんでCSSや細かいところを詐欺サイトが同じにしていないのかは疑問だ。
こちらは当然ながらSSLなのでステータスバーの赤枠の鍵マークはちゃんと掛かっている。
詐欺サイトか本物サイトかを見分けるのにとりあえずSSLを調べるのが有効であることが判る。