cNotes 検索 一覧 カテゴリ

4月後半のフィッシング開始

Published: 2008/04/23

ハニーポット君で4月後半のフィッシングメールを捕捉し始めました。

 To: gask@*****.com 
 Subject: PayPal User Confirmation 
 From: support@intl.paypal.com
 Date: Wed, 23 Apr 2008 19:13:14 +0900 
 
 ---------------------------------------------------------------
  
 Dear PayPal ® customer,
 
 We recently reviewed your account, and we suspect an unauthorized transaction  on your account.
 Protecting your account is our primary concern. As a preventive measure we  have temporary limited your access to sensitive information.
 Paypal features.To ensure that your account is not compromised, simply  hit "Resolution Center" to confirm your identity as member of Paypal.
  
 Login to your Paypal with your Paypal username and password. 
 Confirm your identity as a card member of Paypal. 
 
 Please confirm account information by clicking here Resolution Center and   complete the "Steps to Remove Limitations."  
 
 
 *Please do not reply to this message. Mail sent to this address cannot be  answered.
 
 Copyright © 1999-2008 PayPal. All rights reserved.
 

クリックしちゃうと飛ばされるサイトはここ

 http://paypal.user-updates.com/*****/

いわゆるゾンビPCタイプのフィッシングサイトのようで

 *.user-updates.com

に対して応答を返すように5個のIPアドレスがころころ変更されながら登録されているようです。今現在は韓国のIPが多く登録されるようですが意図的なのか、TTLが若干長めなせいでそう見えるだけなのかわかりませんがアドレスの組み合わせは結構変わります。NSレコード自体一度変更になっているみたい。

レジストラ情報はこんな感じ。相変わらずshort spanな行動ですね。

   Domain Name: USER-UPDATES.COM
   Registrar: BEIJING INNOVATIVE LINKAGE TECHNOLOGY LTD. DBA DNS.COM.CN
   Whois Server: whois.dns.com.cn
   Referral URL: http://www.dns.com.cn
   Name Server: NS1.CLOSEGEN.COM
   Name Server: NS2.CLOSEGEN.COM
   Status: clientTransferProhibited
   Updated Date: 23-apr-2008
   Creation Date: 21-apr-2008
   Expiration Date: 21-apr-2009

[カテゴリ:spam観察日記]

by jyake