最近になって、Gameover ZeuSの現行の設定ファイルを入手したのだが、GameoverはいまやCareerBuilder(訳注:米国最大の求人求職サイト)に加えてMonster(訳注:世界規模の求人求職サイト)も標的にしていることに気付いた。

 以下は正規のhiring.monster.comというURLのものだ。

hiring.monster

 Gameover ZeuSに感染したコンピュータは新たに「Sign In」ボタンを挿入するが、それを除けばページは同一のように見える。

hiring.monster, gameover

 そして挿入されたフォーム上で、次のような「セキュリティ上の質問」が問われる。

hiring.monster, gameover question injection

 以下はその全リストだ。

  •  In what City / Town does your nearest sibling live?(一番近くに住む兄弟姉妹のいる街は?)
  •  In what City / Town was your first job?(最初の仕事をした街は?)
  •  In what city did you meet your spouse/significant other?(配偶者や大切な人と出会った街は?)
  •  In what city or town did your mother and father meet?(ご両親が出会った街は?)
  •  What are the last 5 digits / letters of your driver\'s license number?(運転免許証の番号の下5桁は?)
  •  What is the first name of the boy or girl that you first dated?(初めてデートした相手の下の名前は?)
  •  What is the first name of your first supervisor?(最初の上司の下の名前は?)
  •  What is the name of the first school you attended?(最初に入学した学校の名前は?
  •  What is the name of the school that you attended aged 14-16?(14〜16歳のときに通った学校の名前は?)
  •  What is the name of the street that you grew up on?(あなたが育った街の名前は?)
  •  What is the name of your favorite childhood friend?(子供の頃に好きだった友達の名前は?)
  •  What is the street number of the first house you remember living in?(住んでいたことを覚えている中で最初の家の番地は?)
  •  What is your oldest sibling\'s birthday month and year? (e.g., January 1900)(一番上の兄・姉が生まれた年および月は?入力例:January 1900)
  •  What is your youngest sibling\'s birthday?(一番下の弟・妹の誕生日は?)
  •  What month and day is your anniversary? (ie. January 2)(あなたの記念日の月と日は?入力例:January 2)
  •  What was the city where you were married?(結婚した街は?)
  •  What was the first musical concert that you attended?(初めて鑑賞したミュージカルは?)
  •  What was your favorite activity in school?(学校の活動で好きだったものは?)

 このプロセスにより「qasent」というcookieが生成される。

 Webサイトのアカウントを持つ、人事の採用担当者はこのような不正行為について警戒すべきだ。アカウントが銀行口座や使用経費と潜在的に関連があるなら…、バンキングトロイの標的になる。

 Monsterのようなサイトでは、単なるセキュリティ上の質問を超える、 2要素認証を導入することは悪い考えではないだろう。

—————

分析 — Mikko Suominen