American Express - フィッシング
Published: 2010/06/01
これも半年前ごろに流行っていた「AmericanExpressやChaseBankのフィッシング」と同じタイプのものをまた大量受信しています。
American Expressさんからこのようなサブジェクトのメールが届きます。
important alert important security important information important instructions important notification
中身はこのようなHTMLメール
リンクをクリックするとここ。
フィッシングサイトです。
今回は2パターンあるようで、
メールの文面に利用される誘導リンクが、
タイプ1 そのままフィッシングサイトを指しているもの
http://www212.americanexpress.com.idlls.ru/mydata/forms/apisrv.php?session=XXXXXXXXXXXXXX&email=XXXXX@XXXXX
タイプ2 メールの文中の誘導URLは各種フリーホスティングサービスを利用するもの
http://operyzisi.o-f.com/opisuta.html http://snipr.com/wxn6w http://ylyvejupyn.maddsites.com/ufegylac.html http://okewodez.freewebportal.com/rifofod.html http://bequdorehe.freewebsitehosting.com/munybas.html
そこからのリダイレクト先
http://www212.americanexpress.com.dll.kz/mydata/form/apisrv.php?session=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
domain: IDLLS.RU nserver: ns1.froxyholl.com. nserver: ns1.growthiring.com. nserver: ns2.froxyholl.com. nserver: ns2.growthiring.com. state: REGISTERED, DELEGATED, VERIFIED person: Private Person created: 2010.05.11 paid-till: 2011.05.11
Domain Name............: dll.kz Organization Using Domain Name Name...................: Oksana Bojko Organization Name......: Street Address.........: ul.Kolmogorova d.3A kv.109 City...................: Ekaterinburg State..................: Sverdlovskaya oblast Postal Code............: 620034 Country................: RU
この2ドメインに登録されているAレコードは共通ですが、Fast-Fluxで一度のクエリで返される8つのAレコードの内容はクエリの度に若干変わります。
南米ブーム?
95.25.154.47 95-25-154-47.broadband.corbina.ru. 8402 RU 190.51.44.102 190-51-44-102.speedy.com.ar. 22927 AR 170.51.237.63 NONE 19037 AR 189.61.99.242 bd3d63f2.virtua.com.br. 28573 BR 190.55.22.44 cpe-44.22.55.190.in-addr.arpa. 27747 AR 190.128.62.237 NONE 13489 AR 190.178.149.201 190-178-149-201.speedy.com.ar. 22927 AR 201.221.200.58 201-221-200-58.bk11-dsl.surnet.cl. 14117 CL 201.132.45.191 NONE 13999 MX 109.108.176.79 NONE 42439 ES
by jyake