先週、オサマ・ビンラディンの死に関連するFacebookのビデオスパムが発生した。以前のスパムは、基本的に以下のバリエーションだった:
興味を持ったユーザがスパムのリンクをクリックすると、ビデオを見るための「セキュリティチェック」という見せかけで、結局、そのユーザが自分のFBコンタクトに手動でスパムを送ることになるページへと導かれる:
ユーザは基本的に、スクリプトのコピー・ペーストを実行する:
そのコードはユーザの最も親しい友人たちに(スパムと共に)メッセージを送る。
それで我々は、テストマシンで以前のビデオスパムの分析を行っていたのだが、今日、起きてみるとFB受信箱に山のような新しいスパムを発見した。これは修正されており、もはや我々がスクリプトをコピー・ペーストする必要さえないのだ。何と便利な。
受け取ったスパムは以下のようなものだ:
次に我々は、下にある「==VERIFY MY ACCOUNT==」をクリックすることを期待されているようだ。(注意:そうすることは推奨しない。)
次に、ブラウザの下に以下の表示が現れた:
このコードは、以前のスパムが親しい連絡先に送信したものと同様のメッセージを、我々のFBアカウントのウオールに投稿するものだ。
次に、ポップアップボックスが現れた:
さらに、以下のページにリダイレクトされる:
作者の狙いが何なのかは、良くわからない。はっきりとした金銭的な取得があるようには見えないからだ。しかしこれは確かに、以前のスパムのアップグレードだ。
傍注 - 「iPhoneから」のポスト? まさか。app_idパラメータへの「6628568379」の割当は、明らかにFacebookにその投稿がiPhoneからのものだと思わせる:
例えば、「http://www.facebook.com/apps/application.php?id=6628568379」へのアクセスは、「http://www.facebook.com/iphone」へと導く。
----
Threat Insight post by Shantini and Rauf
興味を持ったユーザがスパムのリンクをクリックすると、ビデオを見るための「セキュリティチェック」という見せかけで、結局、そのユーザが自分のFBコンタクトに手動でスパムを送ることになるページへと導かれる:
ユーザは基本的に、スクリプトのコピー・ペーストを実行する:
そのコードはユーザの最も親しい友人たちに(スパムと共に)メッセージを送る。
それで我々は、テストマシンで以前のビデオスパムの分析を行っていたのだが、今日、起きてみるとFB受信箱に山のような新しいスパムを発見した。これは修正されており、もはや我々がスクリプトをコピー・ペーストする必要さえないのだ。何と便利な。
受け取ったスパムは以下のようなものだ:
次に我々は、下にある「==VERIFY MY ACCOUNT==」をクリックすることを期待されているようだ。(注意:そうすることは推奨しない。)
次に、ブラウザの下に以下の表示が現れた:
このコードは、以前のスパムが親しい連絡先に送信したものと同様のメッセージを、我々のFBアカウントのウオールに投稿するものだ。
次に、ポップアップボックスが現れた:
さらに、以下のページにリダイレクトされる:
作者の狙いが何なのかは、良くわからない。はっきりとした金銭的な取得があるようには見えないからだ。しかしこれは確かに、以前のスパムのアップグレードだ。
傍注 - 「iPhoneから」のポスト? まさか。app_idパラメータへの「6628568379」の割当は、明らかにFacebookにその投稿がiPhoneからのものだと思わせる:
例えば、「http://www.facebook.com/apps/application.php?id=6628568379」へのアクセスは、「http://www.facebook.com/iphone」へと導く。
----
Threat Insight post by Shantini and Rauf
