Phishing Attack Hijacks Office 365 Accounts Using OAuth Apps
A phishing campaign has been discovered that doesn't target a recipient's username and password, but rather uses the novel approach of gaining access to a recipient's Office 365 account and its data through the Microsoft OAuth API. Almost all Microsoft Office 365 phishing attacks that we see are designed to steal a user's login name and password by impersonating a Microsoft login landing page. In
とも ちゃ日記(Tomo cha) - 元大学生のOL日記-
わたしの日記は日々の出来事の鬱憤晴らしの毒だし日記がメインです。 相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。 また、この日記へのリンクは原則自由にして頂いても結構ですが、 写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。 カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, 食, 生活, 遊び, Drive, TV, 仕事, 先ほど、フィッシングサイトのspamが届いたので、停止されるまえに、楽しんで遊んでみました。 ということで、画像で紹介。楽しんでいってねー! まずは、ログイン画面。 ログイン画面の次は、乱数表の暗証番号を上から順に入力して
RSAセキュリティ、あて先をホワイトリスト化して延命を図ったフィッシング攻撃を報告
EMCジャパンのRSA事業本部は2013年1月29日、オンライン詐欺の最新動向を紹介する定例会を開催し、フィッシング攻撃の新たな例を報告した。フィッシングメールのあて先をホワイトリスト化して厳選する新たな攻撃パターンが、ここ数カ月で目立ってきたという。この手法を使うと、フィッシングサイトを延命できるようになるなど、以前よりもセキュアに攻撃を成功させられるようになる。 今回報告された攻撃は、フィッシング攻撃(偽物のWebサイトのURLをクリックさせて情報を騙し取る攻撃)を、より洗練させたものである。同社はこれを「Bouncer List Phishing」と呼ぶ。この攻撃の全体のフローは、厳選して作成した攻撃メールのあて先アドレス(ホワイトリスト)を管理し、アクセスしてきたURLに正しいメールアドレスが含まれていた場合に限ってWebページを動的に生成する、というもの。 期待通りのURLでない
エフセキュアブログ : トレンド:フィッシングから「マンインザミドル」フィッシングへ
トレンド:フィッシングから「マンインザミドル」フィッシングへ 2011年10月01日00:15 ツイート sean_sullivan by:ショーン・サリバン ヘルシンキ発 我々が最近行った調査に基づき、フィッシングのメソッドがどのように進化しているかを以下にご紹介する。 電子メールフィッシング 下のメッセージは、Blizzard Entertainmentからのものだと称している。 同メールは、現在開発中のゲームへのアクセスを約束することで、受信者にフィッシングを仕掛けようとしている。 言語も文法の用法も妥当だが、完璧ではない。 いくぶん奇妙なことに…なりすましているメールアドレスは「noreply@blizzard.com」だ。 ————— 電子メール + サーバフィッシング このメッセージは、フィンランドのNordea Bankからのものだと称している。 言語と文法はひどい(Goo
クレジットカードのブランドをかたる詐欺に注意--フィッシング対策協議会が警告
フィッシング対策協議は2月23日、2008年7月から9月期におけるフィッシングの動向をまとめた「フィッシング対策協議会4半期レポート」を発表した。この四半期の日本国内のフィッシング報告件数は27件で、4月から6月期の6件から大幅に増加したという。 フィッシングサイトの報告内訳は、7月が2件、8月が5件、9月が20件となっている。国内の事業者ブランドをかたったものとしては、8月および9月にUFJ cardをかたるフィッシング事象が報告された。8月に確認されたメールは文字化けしていたが、9月には日本語で書かれたメールとなり、利用限度額引き上げのためにカード情報を登録する偽サイトに誘導しようとしていた。 また9月には、他に「Yahoo! オークション」をかたるフィッシングメールも数多く報告された。日本の金融機関をかたるフィッシング事例としては、2007年8月以降オンラインバンキングのものが報告さ
「株式会社」が社名の前か後か--ネットエージェントをかたるメールに注意
ネットエージェントは2月24日、同社の名前に酷似した社名の企業が、運営するサイトの利用料金未納について携帯電話メールを送信しているとして、注意を呼びかけた。社名がネットエージェント株式会社ではなく、株式会社ネットエージェントになっているという。 このメールは、「登録制の情報サイトに初回無料で登録したが、そのまま解約せず放置したため、継続使用料および延滞利息(遅延損害金)が発生している。そのためネットエージェントの代行としてこのメールを送っており、当社に至急連絡を取るように」といった内容の文面となっている。しかし、同社はでそのような有料の情報サイトやそれに類する有料サイトは一切運営していないことから、同社とは一切関係のないメールであるとしている。 これらのメールには、発信者への返答を促す内容が記載されている。しかし、返答してしまうと振り込め詐欺やフィッシング詐欺などの被害に遭ったり、暗証番号
QRコード〜人間には読めないURLの罠/知って得するドメイン名のちょっといい話 #9 | 知って得するドメイン名のちょっといい話
読者の中には携帯電話向けのウェブコンテンツをターゲットにしている方も多いだろう。携帯からのアクセス手段のひとつに「QRコード」がある。今回はこのQRコードに目を向けてみたい。 最近のQRコード事情QRコードはもともと、自動車部品メーカーである株式会社デンソーが、1994年に生産管理のために開発した二次元コードですが、その仕様をオープンにして誰でも利用できるようにしたために、さまざまな用途に広がりました。特に、携帯電話からウェブサイトに接続する際、面倒な文字入力の代わりに携帯電話のカメラでQRコードを撮影してアクセスするという利便性が受け入れられて、広く普及しています。 カメラ付きの携帯電話があたりまえになり、昔の機種に比べて読み取りの精度も速度も格段に向上しました。昔、QRコードの読み取りに苦労した経験のある方、ぜひ最近の機種で試してみてください。 QRコードは自分でも作れる携帯電話からイ
ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ネットワーク社会における新たな脅威として、アプリケーションソフトウェアの脆弱性を狙った攻撃が発生していることから、これらの攻撃の実体の把握と対策を促進するための資料「ソーシャル・エンジニアリング(*1)を巧みに利用した攻撃の分析と対策」を、2009年2月6日(金)に公開しました。 「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」の詳細は次のPDFファイルをご参照ください。 ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策 -脆弱性を狙った脅威の分析と対策について-(427KB) 脆弱性を狙った脅威の分析と対策 2008年4月16日、IPAセキュリティセンターを騙り、マルウェア(*2)の仕掛けられたファイルが添付された「なりすましメール」が出回ったことを確認し、IPAでは「重要なお知らせ」として注意喚起
偽「松阪市公式HP」 | Okumura's Blog
偽の「松阪市公式HP」(www.torizo.com)なるものが存在するようだ。といっても単に本物の松阪市ホームページをフレームで表示しているだけで,本物が ※偽の「松阪市公式HP」にご注意ください。 http://www.city.matsusaka.mie.jp 今一度アドレスをご確認ください。 という表示を出せば偽物にも同じ表示が現れる。詳しくは松阪市議山本たかし氏のブログ参照。 [2009-02-09追記] Internet Archive Wayback Machine を見る限り,少なくとも2004年3月22日以降ずっとこの状態になっている。県警によれば「事件性はない」が,刑事事件にならないからといって,民事訴訟だってありうるし,いずれにしても善良な市民のすることではないので,真似しないこと。 山梨県の電子申請ポータルサイトと称する以下のサイトは本物でしょうか? https
フィッシングで盗んだデータの送信方法
筆者は以前書いたブログ記事で,フィッシング・キットがどのようなものであるかを解説した。さらに,フィッシング・キットがよく備えている,フィッシングとして知られるソーシャル・エンジニアリング攻撃に加担する詐欺師向け機能についても書いた。今回は,このようなフィッシング・キットに採用されているデータ送信方法に焦点を当てる。つまり,フィッシング被害者から集めた情報を保存し,最終的に詐欺師の元へ届ける手段を説明する。 データ送信方法の進化は,Web技術のたゆまぬ進歩と密接に関係している。我々が数年前に初めて遭遇したフィッシング攻撃は,完全に静的なHTMLだけで構成されていた。その当時,動的なコンテンツをホスティングできる処理能力を持つWebサーバーは非常に珍しかった。そのような時代ではあるが,集めた個人情報の送信にぜい弱な「入力データをメールで送信するWebフォーム」用プログラムを使うことが一般的だっ
全世界のフィッシング攻撃の半分に関与している正体不明のオンライン犯罪組織「Rock Phish」
ニセのページに誘導してオンラインバンキングのパスワードなどを盗み出す「フィッシング」。全世界で行われているこのフィッシング攻撃の実に半分に関与していると言われ、銀行だけで1億ドル(約106億円)もの被害額を出している謎のオンライン犯罪組織、それが「Rock Phish」です。 彼らはごく少数の人間で構成された少数精鋭のテクノロジー犯罪者集団で、メンバーは12人程度と推測されており、フィッシング攻撃で入手した情報は「Mother Ship」(母船)と呼ばれる中央サーバに集め、IRCなどを使って業者へ売買していると考えられています。 この謎の犯罪組織の姿に迫ってみましょう。詳細は以下から。 Rock Phish - Wikipedia, the free encyclopedia 彼らはもともとはルーマニアを起源としているとされており、先月はフィッシング攻撃に使用しているボットネットのインフラ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 月額プランが10月末まで無料 お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
実践的な「フィッシング対策ガイドライン」策定 - 事業者・消費者に向け | ネット | マイコミジャーナル
日本初の総合的なフィッシング詐欺対策指針となる。フィッシング対策協議会のWebサイトで公開中 フィッシング対策協議会は、サービス事業者および消費者両面の観点からフィッシング対策について総合的にまとめた「フィッシング対策ガイドライン」を策定。事業者・消費者双方が的確な対策を取ることで、フィッシング被害の抑制・最小化につなげるよう呼びかけている。 米国APWG(Anti-Phishing Working Group)では、毎月2万件を超えるフィッシング詐欺の報告が寄せられているという。日本においてはまだ件数は少ないものの、2007年夏頃から日本人を対象としたと考えられるフィッシング事例が増加、今年に入ってからはSNS、ISP、携帯電話会社などを騙る事例も観測されるようになっている。 同協議会ではこれまでも「被害にあわないための5ヵ条」をまとめてリーフレットやWebサイトで啓発を行ってきたが、内
進化するフィッシング攻撃キット、MySQL採用も ― @IT
2008/07/30 RSAセキュリティは7月30日、フィッシング詐欺は依然として増加基調にあるとする月例レポートを公表した。 RSA Anti-Fraud Command Center(AFCC)によると、2008年7月のフィッシング詐欺件数は世界で1万3695件に上った。1万4000件~5000件で推移した3~5月に比べれば少ないが、前年比では約2倍の水準だ。 背景には、「メールアドレス収集」「ボットネット運営」「攻撃/フィッシング用ツールキット開発」など、攻撃者側の作業が分業化し、それぞれがビジネスモデルとして確立していること、またその結果として、DNSサーバの設定をひんぱんに変更して、フィッシングサイトのありかを次々に変える「Fast Flux」といった高度な攻撃手法が登場していることが挙げられる。最近はさらに、Fast Fluxにボットネットを組み合わせ、SaaSとして提供するケ
日本でフィッシングが急増しない理由は「費用対効果」
インターネット犯罪対策に関する国際カンファレンス「CeCOS II 東京:Counter-eCrime Operations Summit」で26日、フィッシング対策協議会で技術・制度検討WGの主査を務める情報セキュリティ大学院大学教授の内田勝也氏が、日本におけるフィッシング詐欺の特徴を説明した。 日本におけるフィッシングについて内田氏は、人間の心理的な弱さを突いて重要な情報を取得するソーシャルエンジニアリング的な手法が用いられていると指摘。日本独自の事例としては、PCや携帯電話のサイトを利用したワンクリック詐欺のほか、ソーシャルエンジニアリングの一種として、振り込め詐欺など“優れた”方法があると紹介した。 「振り込め詐欺は非常に特殊なフィッシング」と語る内田氏は、この犯罪が起こる背景として金融機関の存在を挙げた。日本では「普通預金の口座開設は1円から可能で、口座維持費用は不要」「ATMは
ドメイン登録の期限終了通知を装うフィッシング詐欺が出現
ドメイン登録業者からのメールを装って登録者のアカウント情報を入手し、ドメインを乗っ取る手口が出現したとして、ICANNが注意を呼びかけている。 インターネット管理組織のICANNは、ドメイン名の登録者を狙ってフィッシング詐欺を仕掛け、ドメインを乗っ取る手口が出現したとして注意を喚起するアドバイザリーを公開した。 この手口では、攻撃を仕掛ける側がドメイン登録業者(レジストラ)を装い、ユーザーが登録しているドメイン名の期限切れやアカウント管理問題などについて知らせる内容のメールを送付する。 しかしこの内容は偽りで、メールに記載されたリンクをクリックすると、レジストラの公式サイトに見せかけた偽サイトが開く。このサイトはドメイン管理アカウントのログインページに見せかけてあり、ユーザー名やパスワードなどのアカウント情報を入力させてだまし取る仕掛けになっている。 攻撃側は、この手口でだまし取ったログイ
本当はひどい? 日本のフィッシング詐欺被害
最近、政府機関や国内の企業をかたったフィッシング詐欺が増加傾向にある。スペシャリストらが詐欺の実情と対策を紹介した。 実在する組織やサービスの名称をかたった電子メールをコンピューターユーザーに送りつけ、実在サイトに似せたWebサイトで個人情報などを搾取する「フィッシング詐欺」。最近では、日本の政府機関や企業の名称をかたった手口が急増している。国内のフィッシング詐欺の実情や対策を紹介するフィッシング詐欺対策協議会主催のパネルディスカッションが5月19日、都内で開催され、専門家らが意見を交換した。 国内組織をかたったフィッシング詐欺は4~5年前から存在が確認されていたものの、最近ではゆうちょ銀行やイー・バンクの名称、サービスを悪用した手口が発見されるなど、日本を狙った手口が目立ちつつある。同協議会が取りまとめたフィッシング詐欺サイトの発生件数は、2006年度の220件から2007年度は1157
高木浩光@自宅の日記 - PayPalフィッシングにひっかかりそうになった
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AntiPhishingJapan フィッシング対策協議会 | サイトからのお知らせ
Yahoo!オークション - 安全対策研究所