フィッシング usaa.com

Outlookや「Outlook から Michael Jackson ネタへ」で利用されているいるのと同系統のドメインが利用されています。前にも書きましたが同じスパム送信業者が同じWaledacのシステムをつかってるんですよね、きっと。

このような文面で、

このようなサイトに飛んで、クレジットカード番号から暗証番号まで入力させられます。

今回はマルウェア感染ではなく典型的なフィッシングです。

このようなヘッダーがあって、一定時間たつと正規サイトのタイムアウト画面に飛ぶという仕掛けもあります。

いつものごとく利用されているドメインはこのタイプ。

 www.usaa.com.frtii.com.mx
 www.usaa.com.frtll.com.mx
 www.usaa.com.hhili.com.mx
 www.usaa.com.hiik11.com
 www.usaa.com.hiik11.net
 www.usaa.com.hiikf1.com
 www.usaa.com.hiikf1.net
 www.usaa.com.hiikh1.com
 www.usaa.com.hiikh1.net
 www.usaa.com.hiiki1.com
 www.usaa.com.hiiki1.net
 www.usaa.com.hiikj1.com
 www.usaa.com.hiikj1.net
 www.usaa.com.hiikk1.com
 www.usaa.com.hiikk1.net
 www.usaa.com.hiikl1.com
 www.usaa.com.hiikl1.net
 www.usaa.com.hiill1.com
 www.usaa.com.hilli.com.mx
 www.usaa.com.ilifi.com.mx
 www.usaa.com.iljihli.com.mx
 www.usaa.com.kiffil.com.mx
 www.usaa.com.kihhi1.com
 www.usaa.com.kihhi1.net
 www.usaa.com.kihhif.com
 www.usaa.com.kihhif.net
 www.usaa.com.kihhih.com
 www.usaa.com.kihhik.com
 www.usaa.com.kihhik.net
 www.usaa.com.kihhil.com
 www.usaa.com.kihhil.net
 www.usaa.com.lik1ilh.com
 www.usaa.com.lik1ilh.net
 www.usaa.com.likk1lh.com
 www.usaa.com.likk1lh.net
 www.usaa.com.likki1h.com
 www.usaa.com.likki1h.net
 www.usaa.com.likkil1.com
 www.usaa.com.likkil1.net
 www.usaa.com.likkilh.com
 www.usaa.com.mrtll.com.mx

レジストラントはこの辺り。

 Christo Velkov - BE
 Enrico Santos - Estados Unidos
 Diane Pinger - US
 Monica Nagy - US

TTLは長めですがfast-fluxですね。

 ;www.usaa.com.hiik11.com.       IN      A
 
 ;; ANSWER SECTION:
 www.usaa.com.hiik11.com. 1800   IN      A       79.164.137.38
 www.usaa.com.hiik11.com. 1800   IN      A       81.203.83.69
 www.usaa.com.hiik11.com. 1800   IN      A       82.10.225.196
 www.usaa.com.hiik11.com. 1800   IN      A       82.28.13.241
 www.usaa.com.hiik11.com. 1800   IN      A       84.10.62.215
 www.usaa.com.hiik11.com. 1800   IN      A       87.205.38.50
 www.usaa.com.hiik11.com. 1800   IN      A       98.203.236.163
 www.usaa.com.hiik11.com. 1800   IN      A       186.14.40.116
 www.usaa.com.hiik11.com. 1800   IN      A       186.81.219.73
 www.usaa.com.hiik11.com. 1800   IN      A       200.116.9.25
 www.usaa.com.hiik11.com. 1800   IN      A       38.102.19.237
 www.usaa.com.hiik11.com. 1800   IN      A       75.101.172.178
 www.usaa.com.hiik11.com. 1800   IN      A       76.101.65.160
 www.usaa.com.hiik11.com. 1800   IN      A       77.21.235.237
 www.usaa.com.hiik11.com. 1800   IN      A       78.157.82.12
 
 ;; AUTHORITY SECTION:
 hiik11.com.             1800    IN      NS      ns1.nubnovel.net.
 hiik11.com.             1800    IN      NS      ns2.labelself.com.
 hiik11.com.             1800    IN      NS      ns1.labelself.com.
 hiik11.com.             1800    IN      NS      ns2.nubnovel.net.
 
 ;; ADDITIONAL SECTION:
 ns2.nubnovel.net.       172800  IN      A       55.4.127.43
 ns1.nubnovel.net.       172800  IN      A       69.162.89.118

とあるスパム送信業者が、一つの（？）スパム送信の仕組みが、マルウェア感染やフィッシングなどいろいろな用途に流用されているということの例ですね。

usaaってよく知りませんでしたがiPhone関連のニュースで出てきますね。モバイルバンキングは日本の携帯では当たり前な感じになっている気がしていますが、アメリカではiPhoneやblackberryの登場でやっと盛り上がってきたってことなんですね。なのでこの手のフィッシングの対象にもなりやすいってこと？PCだと注意深くなるが、iPhoneでこの手のフィッシングメールうけると引っかかりやすい？iPhoneやスマートフォンのサイトチェッカー、リンクチェッカーってあるんでしたっけ？

[カテゴリ:spam観察日記]

by jyake