4月後半のフィッシング開始
Published: 2008/04/23
ハニーポット君で4月後半のフィッシングメールを捕捉し始めました。
To: gask@*****.com Subject: PayPal User Confirmation From: support@intl.paypal.com Date: Wed, 23 Apr 2008 19:13:14 +0900 --------------------------------------------------------------- Dear PayPal ® customer, We recently reviewed your account, and we suspect an unauthorized transaction on your account. Protecting your account is our primary concern. As a preventive measure we have temporary limited your access to sensitive information. Paypal features.To ensure that your account is not compromised, simply hit "Resolution Center" to confirm your identity as member of Paypal. Login to your Paypal with your Paypal username and password. Confirm your identity as a card member of Paypal. Please confirm account information by clicking here Resolution Center and complete the "Steps to Remove Limitations." *Please do not reply to this message. Mail sent to this address cannot be answered. Copyright © 1999-2008 PayPal. All rights reserved.
クリックしちゃうと飛ばされるサイトはここ
http://paypal.user-updates.com/*****/
いわゆるゾンビPCタイプのフィッシングサイトのようで
*.user-updates.com
に対して応答を返すように5個のIPアドレスがころころ変更されながら登録されているようです。今現在は韓国のIPが多く登録されるようですが意図的なのか、TTLが若干長めなせいでそう見えるだけなのかわかりませんがアドレスの組み合わせは結構変わります。NSレコード自体一度変更になっているみたい。
レジストラ情報はこんな感じ。相変わらずshort spanな行動ですね。
Domain Name: USER-UPDATES.COM Registrar: BEIJING INNOVATIVE LINKAGE TECHNOLOGY LTD. DBA DNS.COM.CN Whois Server: whois.dns.com.cn Referral URL: http://www.dns.com.cn Name Server: NS1.CLOSEGEN.COM Name Server: NS2.CLOSEGEN.COM Status: clientTransferProhibited Updated Date: 23-apr-2008 Creation Date: 21-apr-2008 Expiration Date: 21-apr-2009
by jyake