Endpoint Protection

 View Only

偽のブラウザプラグイン - 新たな詐欺の手口 

Jan 18, 2012 04:05 AM

Facebook を利用した詐欺は、詐欺師たちが手数料を稼ぐ手段として一般的になってきましたが、ときおり、セキュリティ研究者が目を見張るような興味深い手口が見つかります。そのような詐欺の手口の 1 つに、ユーザーをだまして偽のブラウザプラグインをダウンロードさせるものがあります。筋書は非常にシンプルで、被害者を欺いて何らかのビデオを見せるというものです。ただし、ビデオの[シェア]ボタンや[いいね!]ボタンをクリックするよう求めるのではなく(これは多くの詐欺に見られます)、ビデオを見るために必要な偽のプラグインのダウンロード画像を表示します。このようなケースの例を以下に示します。

この偽の画面は、iframe を通して別のサイトからロードされた画像にすぎません。偽のコンテンツをロードする iframe は、以下のようなものです。

iframe によってロードされたサイトにアクセスすると、以下の画像が表示されます。

被害者がこの画像をクリックすると、User-Agent 情報が取得され、それに従って偽のプラグインがダウンロードされます。現在のところ、Mozilla Firefox と Google Chrome 用のプラグインのみが使われています。プラグインを取得するスクリプトを以下に示します。

被害者にプラグインをインストールするよう求めるブラウザの画面を以下に示します。

インストールされたプラグインを開くと、多数のスクリプトが含まれていることがわかります。

これらのスクリプトの 1 つを使って、サーバーから別のスクリプトがダウンロードされます。

今度はそのスクリプトによって、悪質なスクリプトが最終的にダウンロードされます。

最終的なスクリプト extra.js は、被害者のプロフィール上に(ビデオを装った)偽の画像を投稿して、詐欺をさらに広める役割を担います。


 
最後に、典型的なアンケート画面がポップアップ表示されます。ユーザーがビデオをロック解除するには、このアンケートを完了する必要があります。

詐欺師たちはユーザーを欺いてアンケートに答えさせるために、常にさまざまな手口を模索していています。シマンテックではこのような目的の攻撃に対抗するために常に監視を続けています。シマンテック製品は、高度な多層型のセキュリティ手法により、このような攻撃から保護します。読者の皆様には、すべてのセキュリティパッチと定義ファイルを定期的にインストールすることをお勧めします。

Facebook のセキュリティに関するその他のヒント:

  • セキュリティ設定を確認し、ログイン通知を有効にすることを検討してください。セキュリティ設定には、Facebook ホームページの右上にあるドロップダウンボックスから[アカウント設定]をクリックしてアクセスできます。
  • 怪しいリンクは、たとえ友達からのものであってもクリックしないでください。また、疑わしいリンクを見つけたら、相手に知らせてください。
  • 不明な相手からの友達リクエストはクリックしないでください。
  • 詐欺を見つけたら報告してください。報告を受けた詐欺コンテンツは削除されます。
  • 信頼できないアプリケーションはダウンロードしないでください。
  • ホテルや空港など公共の場所から Facebook を利用する場合は、「otp」というテキストメッセージを 32665 に送信して、アカウントのワンタイムパスワードを取得してください(米国のみ)。
  • Facebook のセキュリティページにアクセスして、「Take Action」と「Threats」の各項目をお読みください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.