フィッシング詐欺にご注意くださいFFXIをプレイしている人向けの、ウイルスというよりフィッシング詐欺の記事です。
以下のようなtellが送信されているようです。
長い空白か改行で複数行に見せかけています(通常のチャットでは不可能な長さです)。
URIを開くと以下のようなフィッシングサイトです。
http://www.playonline.tc/complaint.html
http://ff11.sdo.ac/complaint.html
リンクシェルコミュニティのUS版に似ています
(画像やCSSなどをオリジナルから取得するので似ていて当然です)。
本物のリンクシェルコミュニティと比べてみましょう。
フィッシングサイトはSquareEnixアカウントやワンタイムパスワードまで要求します。
何か後ろめたい事がある人(RMTをしたことがある人など)がIDやパスワードを入力すると
以下のようなリクエストが送信されます。
| http://ff11.sdo.ac/savefeedback.asp?NEXT_FORWARD_NAME=loginAccountList&zh=POLID&mm=POLパスワード&szh=SEID&smm=SEパスワード&kl=ワンタイムパスワード |
この時点でアカウントの盗用は完了するはずですが、続きがあります。
Agree(同意する)ボタンのリンク先は
http://ff11.sdo.ac/complaint.exe
となっています。
何か後ろめたい事がある人(笑)がこのバイナリを実行すると
hostsが削除され、flasha32.dllがシェル(explorer)をフックします
(
別記)。
ところでこのサーバーは何者でしょう。
FFXIのUS版に似ている画面の上をダイアログが動き回ります。
http://ff11.sdo.ac/
「ログイン」をクリックすると
元はLotROのフィッシングサイトのようで、検索すると
lotro.sdo.ac
が見つかります。
サブドメインは何でもいいようです。
www.sdo.ac
foo.sdo.ac
bar.sdo.ac
hostsでのブロックはあまり期待しないほうがいいでしょう。
日本人ですとac.jpのようなまともなドメインと勘違いしそうですが、
acはアセンション島です(教育機関はeduです)。
これほど役に立たないwhois情報は初めて見ました。
CNですが、IPアドレスはアメリカのフロリダです。
2009-08-10
2009-08-12
更新されました。
FFXIの日本版に似ている画面の上を「上訴」(笑)ダイアログが動き回ります。
「こちらから」をクリックするとcomplaint.htmlに行きます。
雑な仕事は嫌いです。
2009-08-12
2009-08-15
更新されました。
http://ff11.sdo.ac/
→http://ff11.sdo.ac/ff11.html
→http://ff11.sdo.ac/download.html
→http://ff11.sdo.ac/ff11us.html
→http://ff11.sdo.ac/downloadus.html
2009-08-15
2009-08-16
更新されました。
セキュリティパッチ(笑)。
http://ff11.sdo.ac/
→http://ff11.sdo.ac/ff11.html
→http://ff11.sdo.ac/download.html
→http://ff11.sdo.ac/ff11us.html
→http://ff11.sdo.ac/downloadus.html
2009-08-16
2009-08-20
新たなドメインも投入されました。
http://www.playonline.tc/
CNですが、IPアドレスはアメリカのフロリダです。
