エフセキュアブログ

bank を含む記事

最近気になるメモリ上の情報を狙ったPOSマルウェア

最近、BlackPOSなどのPOSマルウェアのニュースをよく目にします。
これらのマルウェアはMemory Scrapingという手法を利用していることで知られています。
端的に説明しますと、メモリ上に記録されている情報を窃取する手口で、Zbot、CitadelなどのBanking TrojanやKeyloggerなどでもしばしば利用されているものです。

参考URL:
Point-of-Sale and memory scrappers

メモリ上には、暗号化されているような機微情報(パスワードやカード情報とか)もクリアテキストで記録されていることが多々あります。例えば、Banking Trojanなどが狙うようなオンラインバンクのログオン情報であれば、大抵はウェブブラウザのプロセスのダンプを調べれば該当の情報が得られます。

bank_trojan

POSマルウェアの場合はクレジットカードやデビットカードの情報を窃取することが目的です。あるマルウェアの場合は、次ような正規表現を用いて情報を抜き出しています。
#これはそのままIDS、DLPなどのルールとして使えそうですが、パフォーマンスに影響しそうな長さですので少し工夫が必要です。

(((%?[Bb`]?)[0-9]{13,19}\^[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26}\^(1[2-9])(0[1-9]|1[0-2])[0-9\s]{3,50}\?)[;\s]{1,3}([0-9]{13,19}=(1[2- 9])(0[1-9]|1[0-2])[0-9]{3,50}\?))

カードに関係する文字列:
  ・[0-9]{13,19} --- クレジットカード番号
  ・[A-Za-z\s]{0,26}/[A-Za-z\s]{0,26} --- カード名義
  ・(1[2-9])(0[1-9]|1[0-2]) --- YYMM(2012年〜2019年)
  ・[0-9\s]{3,50} --- CVC / CVV

このようにメモリへアクセスするための権限さえあれば比較的容易に情報を得ることができてしまいます。その点では、組み込みOSやファイルサーバなどでAdministrator権限などで動作しているシステムは要注意というわけです。
もっとも、このような権限で動作しているシステムは、他の攻撃に対してもリスクが高いことは言うまでもありませんが。。。

メモリ上の情報を狙った攻撃は、根本的な解決策が出てくるまでは暫く続くとみています。というのも、標的のシステムの環境がある程度限定されていますし、攻撃者は無理にマルウェアを作成しなくても実現可能な攻撃ですので、見えないところで被害が発生し続けるのではないか、と思いました。
また、日本での被害情報は今のところ耳にしていませんが、ちょうど4月にWindows XPのサポート切れですし、そろそろかなぁ、と勘ぐっています。POSシステムを狙った攻撃は2010年前後からですので、そろそろ日本国内のシステムを狙ってきてもよさそうな時期ですよね。

このような攻撃は、メモリ上の情報を暗号化する仕組みが標準となるような時代がこなければ無くならないかもしれませんね。もっとも、そのような技術が普及すると、フォレンジック解析者らも攻撃者と同じ悩みを持つことになるわけです。困りましたね。

最後にPOSマルウェアに対しての対策はこちらの情報が参考になりそうですのでご紹介しておきます。

参考URL:
What retailers need to learn from the Target breach to protect against similar attacks

POSシステムに限った話でもありませんので、参考になると思います。

雑文、失礼しました。


21世紀の銀行強盗のやりかた

サイバー犯罪者はいかにして銀行口座からお金を盗むのか、これを説明するために使える便利なハウツーガイドを紹介する。

 たった5つの簡単なステップですべて完了する。

How to Rob a Bank in the 21st Century

 PDF版(4.20MB)はここからダウンロードできる。

ゆうちょ銀行の利用者を狙い、不正にポップアップを表示させるマルウェア

不正にポップアップ画面を表示させてゆうちょダイレクトの情報を盗み取ろうとする犯罪に使われたと見られるマルウェアを入手することができました。感染後に、ゆうちょダイレクトにログインすると、不正なポップアップ画面が表示されることも確認しており、少なくとも、この事件に使用されたマルウェアの一種であることは間違いないでしょう。

セキュアブレインが無料で提供しているウイルス対策製品「gredアンチウイルスアクセラレータFree」では、"Spyware-tpd"として検出されることを確認しています。

ゆうちょダイレクトをご利用中の方で、お使いのアンチウイルス製品が未対応でしたら、本製品のご使用をご検討ください。
gredアンチウイルスアクセラレータFreeは他社製品と同時に利用することも可能です。詳しくは製品説明をご覧ください。
  • gredアンチウイルスアクセラレータの製品説明とダウンロードはこちらから
  • gredアンチウイルスアクセラレータFreeが同梱されたフィッシング対策製品PhishWallクライアントの製品説明とダウンロードはこちらから

Gameover(P2P ZeuS)亜種のマップ #Italy

  我々のバックエンドオートメーションが5月、「Gameover」関連のIPアドレスを記録し始めた。Gameoverは、バンキング型トロイの木馬ZeuSのピアツーピア型亜種だ。先週我々はこの3,300超のIPを取り上げ、GeoIPルックアップを行った。

  そしてかなり興味深い結果が得られた!


地図を拡大する

ダウンロード:GameoverIPs.kml

  イタリアは、IPアドレスの総数のほぼ10%を占めた:

Gameover P2P ZeuS, Italy

  イタリアは注意マークで覆われている…

  一人当たりの感染の高い数字に興味を持ち、我々はさらにWebを検索して調査を行った所、Dell SecureWorksでBrett Stone-Grossの素晴らしいレポートを発見した。

  (Brian Krebsによれば)少なめに報告されている彼の分析は、我々の調査結果を十二分に追認している。イタリアにはかなりの数のGameover感染が起きている。

Gameover Infections by Country

  Stone-Grossのレポート「ピアツーピア(Gameover)ZeuSのライフサイクル」には、678,000の固有のGameoverボットに関する詳細が含まれているが、そのうちの5.1%がイタリアのものなのだ。

  我々のアナリストが最近取得したGameoverコンフィギュレーションファイルから、イタリアではこの時点でアクティブな動きがあることが分かる。アットマーク(@)は、Gameoverがフォーカスするであろうバンクセッションを示している。

  •  @https://bancopostaimpresaonline.poste.it/bpiol/lastFortyMovementsBalance.do?method=loadLastFortyMovementList
  •  @https://www3.csebo.it/*
  •  @https://qweb.quercia.com/*
  •  @https://www.sparkasse.it/*
  •  @https://dbonline.deutsche-bank.it/*
  •  @https://*.cedacri.it/*
  •  @https://www.bancagenerali.it/*
  •  @https://www.csebo.it/*
  •  @https://*.deutsche-bank.it/*

  また、注目に値するのは、アラビアの銀行がコンフィギュレーションファイルにリストされていることだ。

  CCNA向けに:Gameoverは(インストール時に)ランダムに割り当てられた10,000から30,000のポートで、UDPを介してピアと通信を行う。このような通信は通常、数秒ほどおきに起こり、40から350バイト程度の大きさだ。より大きな通信は、TCPを介して起きる。長期の時間のモニタリングにより、おそらくIPアドレスの繰り返しが見られるだろう。

  Gameoverが洗練されていることが、最初のZeuSの作者が関係している証拠だという我々の以前の推測は、「リタイア」したとされるSlavikが活動を続けていることを示唆するこの記事など、Krebs on Securityの記事が裏付けている。

  では。

Analysis by — Marko and Mikko S.








ZeuS:いつか素晴らしいフィンランド語話す

  二、三ヶ月前、ここ、フィンランドであまりにも礼儀正しいZeuSの亜種が出回った。フィンランド語のローカライゼーションはかなり良かったのだが—エラーメッセージ内に「Suo anteeksi」を使用しており…これはソフトウェアではあまりお目に掛からないものだった。

  我々はZeuS亜種内で(フィンランド語だけでなく)適切なローカライゼーションを確認し続けている。あきらかに、悪党連中の一部は、我々が以前は予想していたローカライゼーションレベルであるGoogle Translateから進化している。

  しかし悪党はまだ基本的な間違いをおかしている。ZeuSのある亜種(現在出回っている)には、ローカライズ版でフィンランド人の名前が含まれている。「Welcome Bank Customer」と述べるのではなく、このトロイの木馬は「Welcome 誰それ」と、人名を表示しているのだ。

  以下は、標的とされている銀行の一部だ。

zeus configuration, bank list

  Javaアプリケーションを使用する銀行向けに、このZeuSは入れ替えを試み、アプローチを模倣しているように見える。(我々の分析は進行中だ)

  コンフィギュレーションファイル(スクリーンショットはそこからとられた)をホスティングしているサーバはオフラインとなっているため、この亜種は感染可能だが、そのCommand & Controlサーバの位置をダウンロードすることはできない。残念ながら、先週感染したコンピュータはみな、多くの重複したサーバ名を含むコンフィギュレーションファイルをダウンロードする。

  しかし幸いなことに…過去に我々が協力した銀行の大部分が、バックエンドシステム上で広範なトランザクション制御を行っている。よって、ZeuSトロイの木馬が感染したコンピュータで誰かのアカウントから資金を移動するのは、それほど単純なことではない。

  最良のアドバイス:感染を避けるため、コンピュータソフトウェアをアップデートすること。また、無計画にWeb検索を行わないことだ。ネット上には、障害が起きたサイトが数多くあり、何かを検索する際に罠に落ちる可能性が高い。

  感染してしまった人への最良のアドバイス:パニックを起こしてはいけない。オンラインバンクアカウントに、何かいつもと違ったところがあったら、悪党をブロックするのに遅くはない。銀行のカスタマサポートに電話すれば、手を貸してくれるだろう。








トレンド:フィッシングから「マンインザミドル」フィッシングへ

  我々が最近行った調査に基づき、フィッシングのメソッドがどのように進化しているかを以下にご紹介する。

電子メールフィッシング

  下のメッセージは、Blizzard Entertainmentからのものだと称している。

Blizzard phishing

  同メールは、現在開発中のゲームへのアクセスを約束することで、受信者にフィッシングを仕掛けようとしている。

  言語も文法の用法も妥当だが、完璧ではない。

  いくぶん奇妙なことに…なりすましているメールアドレスは「noreply@blizzard.com」だ。

—————

電子メール + サーバフィッシング

  このメッセージは、フィンランドのNordea Bankからのものだと称している。

Nordea phishing

  言語と文法はひどい(Google Translateの結果そのままのように見える)。

  このメールは、ログインページをホスティングしているApacheサーバにリンクしていた:

Nordea phishing
  (我々が不正使用の報告を送ったところ、同サイトはすぐに閉鎖された。)

  この偽ネットバンクページは、顧客のユーザIDとコード(印刷リストからのワンタイムパスワード)を要求する。

  以下が次のページだ:

Nordea phishing

  顧客の承認コード(取引を完了するためにランダムに要求される、リスト上のコードの一つ)がすべて要求される。

  入力はすべて、テキストファイルに追加される。この例では、フィッシャが顧客のアカウントにアクセスするチャンスは限られている。顧客が本当のネットバンク口座にアクセスしようとすれば、ワンタイムパスワードが要求されるため、フィッシャの情報は役に立たないからだ。

—————

電子メール + サーバ + MitMサービス

  以下は、先頃フィンランドの2つの銀行を標的とした、より高度化した例だ。

Osuuspankki phishing
Henry Hagnasによるスクリーンショット

  このメッセージで使用されているフィンランド語は、それほど良くはないが、多くのフィンランド人のメールよりは、おおむね良い。

  いずれにせよ、言語と文法の用法は、他のフィッシングキャンペーンと比較して、かなり良いと言える。

  フィッシングサーバも、より高度だ。顧客がユーザIDとワンタイムパスワードコードを入力すると、サーバは次に(限られた機会を利用するため)リアルタイムトランザクションを試みる。

  このマンインザミドルサービスは、顧客に2分間待つように言う:

Ossuspankki, man-in-the-middle

  それから顧客は、特定の確認コードを入力してトランザクションを完了するよう言われる:

Ossuspankki, man-in-the-middle

  この「電子メール + サーバ + MitMサービス」という組み合わせは、2番目に挙げた例よりも巧妙であり、危険性も高い。

  我々が調査したところ、スペインのTLD(.es)で登録された、似たようなドメインが見つかった。ヨーロッパの多くの銀行が、マンインザミドルフィッシングの標的となっている(もしくは今後標的となる)のかもしれない。

そのURLは本物?

  以下は、かなりスタンダードなバンクフィッシングメールで、インドにある銀行を標的としている:

Reserve Bank of India phishing

  「フィッシングに注意」という警告が良い感じだ…

  添付のHTMLファイルを見てみよう:

Reserve Bank of India phishing

  冗談でしょう? このページは「http://amen.fr.softms.com.netwayexchange.com.liberty-textiles.org.v2nmobile.com.manchesteraircooled.com.blackcountrymortgages.com.cardiorenew-europe.com.solhosts.com.giveupthecigs.com.extravite.com.taxrepay.co.uk」にリダイレクトされている? このホスト名で上手く行くことはおそらく無い…

  だが上手く行くかもしれない。

Reserve Bank of India phishing

  これは「reserve.bank.minecraftarena.fr」にリダイレクションされる。そして「minecraftarena.fr」のフロントページは、偽の「アカウント停止」メッセージを表示する。良い感じだ。

  このフィッシングページは以下のように見える:

Reserve Bank of India phishing

  同攻撃の最終的な目的は、銀行のログインとクレジットカード番号を収集することだ:

Reserve Bank of India phishing

  Ravikiranの協力に感謝する。


スパムで恩恵を受ける銀行

  2、3年前、スパムのリサーチ中に、我々はスパムメールから一連のテスト購入を行った。

  錠剤やソフトウェア、タバコなどを購入した。少々驚いたことに、ほとんど全ての注文が承認され、実際に商品が届いた。確かに、我々が受け取ったWindows CDは粗悪なコピーだったし、ロレックスは明らかに偽物だったのだが、少なくとも彼らは「何かしら」を送って来たのだ。

  テストのために作ったクレジットカードアカウントを、我々は注意深く観察していたが、それらが詐欺的に利用される事はついぞなかった。

  このテストで最も驚いたのは、商品の購入に使用した電子メールアドレスに対して、スパムが増えなかったということだ。

  我々の調査結果は、カリフォルニア大学のリサーチャーたち(そうそうたる著者が名を連ねている)が発表した、最新の素晴らしい研究により補強された。

  このリサーチャーたちは、スパムからのテスト購入だけでなく、電子メールを送信するのに使用されたボットネット、スパムサイトをホスティングするシステム、金を動かした銀行を追跡した。

spam banks

  最も興味深いことの一つは、「世界のほとんど全てのスパムセールスが、たった3つの銀行により扱われている」ということだ。

  銀行? それらは以下の通り:
  • DnB NOR(ノルウェーの銀行)
  • St. Kitts-Nevis-Anguilla National Bank(カリブの銀行)
  • Azerigazbank(アゼルバイジャンの銀行)


  スパムは実際のところ、金を動かす銀行やクレジットカード会社にとって、非常に利潤の高いものであるということを肝に銘じておく必要があるだろう。このことは、こうした企業がこの件について実際に何かする可能性の高さに、影響を与えるかもしれないのだ。

  カリフォルニア大学による調査結果はここからダウンロードできる。

PS. 我々は実際には、注文したロレックスを受け取らなかった。違法コピー商品として地元の税関で差し止められ、没収されたためだ。彼らは最終的にそれを破壊した。ハンマーで。

Sonyハックに関する質疑応答

PlayStation Network is currently undergoing maintenance.

Q:PSNとは何か?
A:オンラインゲームネットワーク「Sony PlayStation Network」のことだ。

Q:PSNにアクセスできるデバイスは?
A:Sony PlayStation 3(PS3)、Sony PlayStation Portable(PSP)だ。SonyディスカッションフォーラムでPSNログインを使用することもできる。

Q:Playstation 3を持っていれば、PSNアカウントも持っているということか?
A:そうとは限らない。PS3とPSPはインターネット接続無しでも充分に使える。しかし、ユーザの大多数はオンラインアクセスも利用しており、したがってアカウントも作成している。

Q:ゲームネットワークがクレジットカード情報を持っているのは何故?
A:PSNはメディア配信ネットワークでもある。ユーザはそこからゲームや映画、音楽などを、クレジットカードを使用して購入する。

Q:PSNはどのくらいダウンしているのか?
A:2011年4月20日からだ。

Q:盗まれたのは何?
A:Sonyによれば、全PSNユーザの氏名、アドレス、メールアドレス、誕生日、パスワードおよびハンドルが、盗まれた情報に含まれている。彼らはまた、クレジットカード番号も盗まれたかもしれないが、セキュリティ(CVV)コードは含まれていないと考えている。

Q:どれくらいのアカウントが盗まれたのか?
A:最大7700万アカウントだ。これは過去最大のデータ漏洩の一つとなる数値だ。

Q:エンドユーザは何をすべきか?
A:どこか他のサービスで、同じユーザ名/メールアドレスを同じパスワードで利用しているなら、パスワードをすぐに変更すること。PSNがオンラインに復帰したら、同サービスでもパスワードを変えることだ。

Q:クレジットカードに関して、エンドユーザは何をすべきか?
A:不正な買い物の兆候がないかどうか、注意深くクレジットカードの明細をチェックすべきだ。詐欺の兆候に気づいたら、クレジットカード会社に報告すること。

Q:オンラインで利用するのに、推奨するクレジットカードは?
A:一般に、利用明細を注意深くチェックしている限り、クレジットカードは他の支払い方法よりも安全だ。我々は特に、Bank of Americaが提供しているようなシステムが気に入っている。オンライン利用のため一時的なクレジットカード番号を生成できるからだ。CitibankやDiscoverが、同様の、あるいは類似のテクノロジを提供している。

Q:誰がPSNをハッキングしたのか?
A:分からない。

Q:「Anonymous」なのか?
A:「Anonymous」は昨今、Sonyの戦略(自作ソフト開発者に対する告訴、AIBOハッカーへの攻撃、エミュレータ企業のシャットダウン、ルートキットの出荷等々を含む)に抗議するため、Sonyに対していくつかの攻撃を仕掛けた。しかし「Anonymous」は、今回の漏洩に関係していないと発表している。

Sony vs Anonymous

Q:「Rebug」との関係は?
A:「Rebug」はPS3用のカスタムファームウェアで、これ以外ではリーチできない多くの機能にアクセスすることができる。特に、最近のバージョンでは、通常のPS3をデベロッパユニットのようにすることができる。場合によっては、これはPSNショップから無料でコンテンツを盗むのに用いることができる。「Rebug」ハックは、それが動作しているPS3ユニットから証明書やクレジットカード番号を盗むのに利用されるが、より大きなスケールで情報を盗み取るのに利用するための明白な方法は存在しない。「Rebug」開発者はどんな形であれ、「Rebug」が今回の漏洩に関係していると考えてはいない

Q:では、XBOXやWiiのゲームネットワークでは、こうしたことは起こりえないんでしょう?
A:それはどうだろう。

Sonyへのリンクはここ:公式Q&A

2011年5月3日に質問事項を追加:

Q:「SOE」とは何か?
A:「Sony Online Entertainment System」のことで、PSNのようなPCゲーム用のオンラインゲームネットワークだ。

Q:「SOE」には、私が耳にしたことがあるようなゲームはあるのか?
A:「EverQuest」がある(これはその中毒性から「EverCrack」としても知られている)。そのほか、「Star Wars Galaxies」「The Matrix Online」「PlanetSide」「DC Universe Online」といったゲームがある。

EverQuest II image from mmofront.com

Q:「SOE」に何が起こったのか?
A:これもハッキングされた。Sonyは5月3日、攻撃者が2460万のSOEアカウントの個人情報を盗んだと発表した。その情報には、氏名、アドレス、電話番号、電子メールアドレス、性別、生年月日、ログインID、およびハッシュ化したパスワードが含まれている。「PSN」および「SOE」を合わせると、トータルで1億以上のアカウントが盗まれたことになり、これはある種の記録と言える。かなり大きなもので、例えば、エフセキュアにも影響を受けた従業員が多くいる。

Q:他に何か盗まれたのか?
A:攻撃者たちは、「2007年来の旧式のデータベース」を盗むことができた。これは、12,700件のクレジットカードもしくはデビットカード番号、ヨーロッパのカスタマのダイレクトデビットカード履歴10,700件を含んでいる。

Q:Sonyは何故「2007年来の旧式のデータベース」をオンラインで使用していたのか?
A:まったく何故だろう。

Q:「2007年来の旧式のデータベース」で、クレジットカード番号は暗号化されていたのか?
A:Sonyは発表していない。

Q:彼らは何と言っているのか?
A:ここに、「SOE」カスタマへの発表がある。

Q:誰がやったと思う?
A:分からない。だが、Sonyのデンバー、シアトルおよびトゥーソン・スタジオで起きたレイオフと関係があるのではないか、という推測は存在する。

Q:Sonyは何故嫌われるのか?
A:「MAKE」誌が、それに関する長文の記事を掲載している。要約すると、Sonyには正当な革新や愛好者、競争を追い込んできた長い歴史があるから、ということだ。たとえば:

  •  隠されたWindowsルートキットを含んだ音楽CDを出荷
  •  SonyのAiboを踊らせることができるソフトウェアを作成したとして愛好者を威嚇
  •  古いPlayStation 1のCDをPCでプレイすることを可能にするエミュレータを作成したいと望んだベンダをシャットダウン
  •  リージョン規制をバイパスするためのシステム構築を行った企業を告訴
  •  PS3でのLinuxサポートを停止
  •  メーカ、Geohotのようなハッカーを告訴
  •  そして現在:ユーザの個人情報、クレジットカード番号、銀行口座の詳細を紛失

ZeuS Mitmoが再び攻撃:ポーランドING銀行

  今日、ポーランドから最新ニュースがあった:ZeuS trojanの亜種が、「ING Bank Slaski(ポーランドING銀行)」が使用している、モバイルフォンベースの2要素認証を標的としているというものだ。

  セキュリティーコンサルタントでありブロガーでもあるPiotr Koniecznyが、自分のブログ「Niebezpiecznik」に詳細(Google翻訳)を書いている。

ZeuS in the Mobile, Zitmo, ING Poland, http://niebezpiecznik.pl/post/zeus-straszy-polskie-banki/

  我々がこれまでに集めた詳細から見て、これは昨年スペインで起こったZeuS Man in the Mobile攻撃と同種のもののようだ。スペインのセキュリティ会社「S21sec」が、ZeuS Mitmo(Man in the Mobile)について、最初にここで報告を行った。

  ZeuS MitmoはmTANsを盗むよう設計されており、ZeuS Mitmo trojanに感染したコンピュータは、Webバンキングプロセスに「セキュリティ通知」を入れ込み、ユーザに電話番号を提供させようとする。電話番号が提供されれば、そのユーザはモバイルコンポーネント「ZeusMitmo.A」を示すSMSリンクを受け取ることになる。

この画像が変なのがわかりますか?

SpotTheOdd (107k image)

  おめでとう、ICICI BankのページとそのURLが合っていないのに気づきましたね! もう一点、お気づきになったかもしれないのは、Step 1の間違いだ。実際のログインページでは、ユーザは正しいURLであるかどうか確かめるよう促されるからだ。これら2つの違いを除けば、両方のページは同じものに見える。

  すべては、税金還付の資格があると通知する、インドの所得税局からの電子メールで始まった。より信頼感を増すため、「From」アドレスはなりすまされていた。それからどうなるかご存知だろう。リンクをクリックし、認証情報を入力すると、悪党連中が突然、あなたの銀行口座にアクセスする。

  どのような公共機関も、電子メールを介して機密性の高い行動をとったり、機密データを明らかにするよう促したりはしないことは、常に心に留めておきたい。このケースでは、納税申告をする際に必要とされる情報がすべて収集されている。インドの所得税局のサイトでは、このフィッシングの試みについて警告しており、ユーザにこのようなメールを無視するようにアドバイスしている。

  インドの読者には、(もしまだならば)所得税の申告を忘れないよう申し上げる。

  この情報を寄せてくれたKandruとVenuに感謝する。


企業ID窃盗

  オンライン犯罪者たちにとって、盗難にあった銀行口座やクレジット・カードにアクセスすることは容易だ。それよりもずっと難しいのは、捕らえられることなく、それらのアカウントを空にすることだ。

  そのため、犯罪者たちはマネー・ミュールを必要とする。すなわち、盗んだ金を動かすためにリクルートされた個人だ。多くの場合、これらの個人は、自分たちが組織犯罪の手先に使われていることを知らない。フィッシングおよびBanking Trojanの犠牲者が、金を奪われたと気付いても、真の犯罪者ではないマネー・ミュールが指し示されるのみだ。

  以下は活動中のマネー・ミュール・リクルート・キャンペーンの一例だ。これは「Finha Capital」という企業の名の下に行われている。

Finha

  同Webサイトは、かなり信頼が置けそうに見え、クイックWebサーチにより、この名を持つ本物の企業が存在し、数十年、営業していることが示される。

Finha

  問題は、「finha-capital.com」が「Finha Capital」とは何の関係もないということだ。同サイトは全く偽物なのである。

  「finha-capital.com」というWebサイトが作られた唯一の理由は、オンライン支払いを行い、犯罪者のために金を動かすため、だまされやすいエンド・ユーザを雇い入れるフロントエンドとして使用することにある。この連中は、自分たちの詐欺に人々を引き込むため、既存企業のしっかりとしたブランドを利用しているのだ。

  そしてそれは「Finha Capital」だけではない。以下を見て欲しい:

Finha

  全く同一のWebサイトが、「Bin Finance」および「Contant」という、(少なくとも)別の2つの名前で運営されている。

  そして「Finha Capital」と同様、「Bin Finance」「Contant」という名の企業も実在する。そしてWebサイト上のアドレス・リストは、これら本物の会社のメーリング・アドレスだ。これらの企業も、この違法な活動とは無関係だ。

Finha

  「finha-capital.com」「contant-finance.com」というドメインは、ロシアのサンクトペテルスブルグでホスティングされており、「bin-finance.com」はウクライナのキエフでホスティングされている。

  ちょうど先週、「nordea-securities.com」というドメインで、似たような詐欺事件があった。「Nordea」は北欧の大手銀行で、1000万以上の顧客を有している。

  我々は電子メールで大量送信された、以下のメッセージを発見した:


   From: info@nordea-securities.com
   Subject: Career opportunity
   
   Our firm have reviewed your resume from Career Builder resume base,
   reviewed it and sure that you to be a great applicant for the position which we suggest.
   
   We are now looking for a individuals for a vacant position “Account Coordinator”.
   The main task of this position is to collect payments from our customers in US.
   
   Basic Requirements:
   - Computer skills (MS Word), personal e-mail address
   - Ability to work at home
   - Responsibility
   - Age: 21+
   
   If you are interested, please, register here: http://nordea-securities.com/rim/?link=getjob&rnd=34753525


  同サイトのwhoisデータは誤解を招くもので、「nordea-securities.com」というドメインがNordea Bankの所有であるよう見せかけている。それは事実ではない。yahoo.comのメールアドレスに注意しよう。

nordea-securities alexis perkus poelsevierali@yahoo.com

  学ぶべきことは?

  •  個人だけでなく、企業にもID窃盗は起こる。
  •  誰かが本当とは思えないような、うまい在宅の仕事をオファーするなら、それはおそらく本当ではない。
  •  他人のために金を動かさない。
  •  自分が相手をしていると思っている相手と、本当にコンタクトを取っているのかどうかを確認する。

Android Mobileトロイの木馬の可能性が浮上

  GoogleのAndroidモバイル・オペレーティング・システムが登場してしばらく経つが、ますます関心が高まっている。

  現在、「Android Market」にアップロードされている詐欺的なアプリケーションに関する噂がある。以下の投稿を見て欲しい:

09droid

09droid

  これらのアプリは両方とも、「09Droid」という名で知られる匿名の開発者によって書かれたものだ。

  実際、彼はMarket上で売られているオンラインバンキング・アプリケーションのコレクションを有していた:

image courtesy of Brandon McGee
(画像はブランドン・マギーの好意による)

  これらのアプリケーションは販売されていたことがあるが、実際に何をしたのかについては、現在もハッキリしていない。我々はまだ自分たち用にコピーを確保することができずにいるため、我々にも分からない。

  これらのアプリケーションは、銀行自身が開発したものでも、認可したものでもないため、Android機器から実際のオンラインバンキングを行うことはできなかった。どうやらこれらのアプリケーションは、ユーザのためにオンラインバンクのWebインタフェース開くだけだったようだ。他方で、これらはユーザ証明を盗むこともできただろう。

  我々はこれらの質問を、09Droid氏にぶつけることもできない。なぜなら彼は、どこにも見つからないからだ。彼のアプリケーションはMarketから取り除かれており、彼の連絡先は空白のBlogspotページになっている。

09droid

  その間にも、影響を受けた銀行の多くは最悪の事態を想定し、顧客達に警告を出している。以下はBayport Credit Unionによる警告の例だ:

09droid

  いずれにせよ我々はユーザの皆さんに、Android機器から09Droidのアプリケーションを除去することをお奨めする。

追記:開発者09DroidはAndroid Marketplaceで、少なくとも以下の以下のアプリケーションを販売していた。これらはすでに全て取り除かれている。

Abbey Bank
Alaska USA FCU
Alliance & Leicester (v. 1.1)
Bank Atlantic
Bank of America
Bank of Queensland
Barclaycard (v. 1.1)
Barclays Bank (v. 1.2)
BB&T
Chase
City Bank Texas
Commerce Bank
Compass Bank
Deutsche Bank
Fifty Third Bank v.1.1
First Republic Bank v.1.1
Great Florida Bank
Grupo Banco Popular
HSBC US (v. 1.2)
ING DiBa v.1.1
Key Bank
LloydsTSB
M&I
Mechanics Bank v.1.1
MFFCU v.1.1
Midwest
Nationwide (v. 1.1)
NatWest (v. 1.1)
Navy Federal Credit Union (v. 1.1)
PNC
Royal Bank of Canada
RBS v.1.1
SunTrust
TD Bank v.1.1
US Bank v.1.2
USAA v.1.1
Valley Credit Union
Wachovia Corp (v. 1.2)
Wells Fargo (v. 1.1)

「fr3sh_card3r_rz」とは誰か?

  データ・マイニング中、我々は興味深い細部に出くわすことがある。

  たとえば、以下のドメイン登録者情報を見て欲しい。

  何か面白い事実に気付いただろうか?

     Domain Name: BENINECOB.COM
     Eco Bank
     David Kieselstein (fr3sh_card3r_rz@yahoo.com)
     81 fair hill drive
     westfield, New Jersey 07090
     US

     Domain Name: S-CFS.COM
     Citizens First Bank
     Monica Lewinsky (fr3sh_card3r_rz@yahoo.com)
     390 lewinsky ave
     hull port mn,49309
     US

     Domain name: NORDEABANKAB.COM
     Nordea Bank Ab
     Emilia Martins (fr3sh_card3r_rz@yahoo.com)
     1015 E Wylie St
     Bloomington, Indiana 47401
     US

     Domain name: BOF-IRELAND.INFO
     Bank of Ireland
     Patricia Jones (fr3sh_card3r_rz@yahoo.com)
     Rainwood Apts 1885 Harper Dr A
     Lake City 30260
     US

     Domain name: FIN-VB.COM
     First Investment Bank
     Don Spusta (fr3sh_card3r_rz@yahoo.com)
     1878 algonquin ave
     deltona, Florida 32725
     US

     Domain name: IRBUK-OFFICE.COM
     UK Inland Revenue & Customs
     West john (fr3sh_card3r_rz@yahoo.com)
     564 galant dr
     wincostin mn,48493
     US

     Domain Name: KCW-UK.COM
     Commonwealth Bank UK
     Monica Lewinsky (fr3sh_card3r_rz@yahoo.com)
     390 lewinsky ave
     hull port mn,49309
     US

  モニカ・ルインスキー? 間違いなくたわごとだ。

  だが、この「fr3sh_card3r_rz@yahoo.com」はどうだろう?

  この電子メールアドレスは、2008年7月というかなり以前から、偽の銀行サイトを作成するために用いられている

  fr3sh card3rを使用する…というのは、かなり厚かましいのではないだろうか?

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード