2015年3月21日土曜日

Chromeユーザー調査を偽った悪質スパムフィッシング詐欺サイトに注意!

「Chrome:ユーザー調査」というタイトルでChromeのロゴを無断で使用してあたかもグーグルの
アンケートであるかのようにユーザーを誤解させた挙句、クレジットカード番号を抜き取る
悪質なフィッシングサイトへ誘導を行うという非常に悪質なサイトが確認されたので警告を
することにする。

手口を以下に記載する。参考情報としてリンクなしでURLも貼るがアクセスはしないこと。

まず、下記URLにアクセスすると画像のような画面が現れる。
http://xsczz.exclusiverewards.toeeggnog.country/?sov=65194101&hid=csigkmmkiomkeg&noadl=noadl&redid=7806&gsid=68&id=XNSX.6%3A%3Abc4ef056acee08aaae68457ed85e03d4bfdf4bce1662a190e89afb0b1fee2349-r7806-t68
 
Chromeのロゴを無断使用し、いかにもグーグルからのアンケートのように装い、簡単な
アンケートに回答すると無料でHD Streaming Moviesが当たるという記載がされたページが
出現する。アンケートは全部で4問で、下記の通りだれでも答えられるような簡単なものだ。


アンケートに答えると、本来75ドルのHD Streaming Moviesというよくわからない商品が本日に
限り0ドルであるという煽りページが現れる。

「ここをクリック」をクリックすると下記のURLのページが現れる。
https://www.flogame.com/signup?sf=eight_ay&utm_expid=72006323-340.Qty1d_OAS4uY1aEG_UMSIg.2&ad_domain=ads.ad-center.com&ad_path=%2Fsmart_ad%2Fdisplay&prod=21&ref=5020658&spid=113761_20TgTt4CEqTfuAzg1X6WJx1yziN6000._36619&sub_id=36619&seed=1064335257&adserver=0.16.0-rc1&m=movies&skin=night&utm_referrer=http%3A%2F%2Fxsczz.exclusiverewards.toeeggnog.country%2FMAT72funkplaydarkALL.html

 好きな映画やテレビ番組が無料で見られると記載がある。そして日本語が明らかにおかしい。
サインアップが必要とのことで、捨てアドを入力し、登録をしてみる。すると下記の画面が。

無料だというのにクレジットカードの登録をしろという画面が。つまり、クレジットカード番号を
登録させる悪質フィッシングサイトであったことがここで判明。

この先が見たくて、テスト環境で使えるクレジットカード番号をひと通り入力してみたのだが、
だめだった。下記の番号のこと。
テスト環境で使用できるクレジットカードの情報

ということで、私が確認できたのはここまでだが、こんなサイトに絶対にクレジットカード番号を
入力してはいけない。ここにある情報を使えば、赤の他人があなたのカードで自由に買物を
することが可能になってしまうのだから。

ちなみに、このフィッシングサイトのドメイン情報を調べてみたら下記のようになった。
アメリカのウィルミントンにある会社らしいよ。

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.

Domain Name: FLOGAME.COM
Registrar: ENOM, INC.
Sponsoring Registrar IANA ID: 48
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: A1.VERISIGNDNS.COM
Name Server: A2.VERISIGNDNS.COM
Name Server: A3.VERISIGNDNS.COM
Name Server: U1.VERISIGNDNS.COM
Name Server: U2.VERISIGNDNS.COM
Name Server: U3.VERISIGNDNS.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 19-nov-2014
Creation Date: 20-sep-2010
Expiration Date: 20-sep-2016

>>> Last update of whois database: Sat, 21 Mar 2015 12:52:39 GMT <<<

The Registry database contains ONLY .COM, .NET, .EDU domains and
Registrars.

For more information on Whois status codes, please visit
https://www.icann.org/resources/pages/epp-status-codes-2014-06-16-en.
Domain Name: FLOGAME.COM
Registry Domain ID: 1616613536_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.enom.com
Registrar URL: www.enom.com
Updated Date: 2014-11-19T13:41:22.00Z
Creation Date: 2010-09-20T15:04:39.00Z
Registrar Registration Expiration Date: 2016-09-20T15:04:00.00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Registrar Abuse Contact Email: abuse@enom.com
Registrar Abuse Contact Phone: +1.4252982646
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: FLO GAME
Registrant Organization: -
Registrant Street: 3422 OLD CAPITAL TRAIL
Registrant Street: SUITE 1514
Registrant City: WILMINGTON
Registrant State/Province: DE
Registrant Postal Code: 19808
Registrant Country: US
Registrant Phone: +1.3023804878
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: INFO@FLOGAME.COM
Registry Admin ID:
Admin Name: FLO GAME
Admin Organization: -
Admin Street: 3422 OLD CAPITAL TRAIL
Admin Street: SUITE 1514
Admin City: WILMINGTON
Admin State/Province: DE
Admin Postal Code: 19808
Admin Country: US
Admin Phone: +1.3023804878
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: INFO@FLOGAME.COM
Registry Tech ID:
Tech Name: FLO GAME
Tech Organization: -
Tech Street: 3422 OLD CAPITAL TRAIL
Tech Street: SUITE 1514
Tech City: WILMINGTON
Tech State/Province: DE
Tech Postal Code: 19808
Tech Country: US
Tech Phone: +1.3023804878
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: INFO@FLOGAME.COM
Name Server: A1.VERISIGNDNS.COM
Name Server: A2.VERISIGNDNS.COM
Name Server: A3.VERISIGNDNS.COM
Name Server: U1.VERISIGNDNS.COM
Name Server: U2.VERISIGNDNS.COM
Name Server: U3.VERISIGNDNS.COM
DNSSEC: unSigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2014-11-19T13:41:22.00Z

The data in this whois database is provided to you for information
purposes only, that is, to assist you in obtaining information about or
related to a domain name registration record. We make this information
available "as is," and do not guarantee its accuracy. By submitting a
whois query, you agree that you will use this data only for lawful
purposes and that, under no circumstances will you use this data to: (1)
enable high volume, automated, electronic processes that stress or load
this whois database system providing you this information; or (2) allow,
enable, or otherwise support the transmission of mass unsolicited,
commercial advertising or solicitations via direct mail, electronic
mail, or by telephone. The compilation, repackaging, dissemination or
other use of this data is expressly prohibited without prior written
consent from us.

We reserve the right to modify these terms at any time. By submitting
this query, you agree to abide by these terms.
Version 6.3 4/3/2002

Get Noticed on the Internet! Increase visibility for this domain name by listing it at www.whoisbusinesslistings.com



追記。
人によってはブラウザで毎回このページが表示されてしまい、解決策を探している人が
いるようだ。私はそのパターンじゃなくて、特定ページにアクセスしたときにユーザー調査
ページに飛ばされたパターンなので、ブラウザに何かを仕込まれたパターンの解決策は
知らないのだが、別件で経験した下記の事例が参考になるかもしれないので、付記しておく。
「Windows のPC修復」というページがchromeで勝手に表示されることの対処
要は怪しいプログラムがインストールされていたらコントロールパネル経由でそれを削除し、
さらにブラウザのキャッシュも徹底的にクリアするということだ。試してみてもらえればと。


ちなみにクレジットカード番号をこうした怪しい業者に渡してしまうとどうなるのか、
下記のサイトで実例が書かれていた。
【注意】Chromeの調査を名乗る詐欺が多発の模様
実際に番号が流出した経験をお持ちの方によると、流出した番号は中国の詐欺団に
販売され、速攻で不正利用されるとのこと。 さらにカード名義人名、カード番号、
カード有効期限、セキュリティコード、お申込者住所なども流出することになるので、
該当カードを停止しても名前や住所が詐欺団の手に渡るという、非常に怖い話である。