Facebookユーザーを狙うYouTube動画詐欺

2013/01/31

サイバー犯罪者が再び暗躍し、FacebookやYouTubeの人気を利用して、消費者を騙そうとしています。これまで、セレブの秘密動画や無料のFacebook Tシャツなどを餌にして、Facebook経由で広まった詐欺がいくつか発見されています。マルウェアの作成者は、クリック課金の手口で稼いでいます。ユーザーは友達の掲示板に表示されたリンクを、騙されてクリックします。マルウェア作成者によってオパシティ属性の値をゼロにした目に見えないレイヤーをクリックすると、ユーザーが知らないうちに、悪意あるスクリプトが読み込まれ、バックエンドに注入されます。被害者は何回もリダイレクトされたあげく、最終的に調査のページにたどりつきます。その間に、注入されたスクリプトは、このユーザーのクッキーを盗み出し、本人の知らない間にウォール上に投稿を行います。

マカフィー・ラボでは、被害者のマシンで実行されているブラウザを確認した後、被害者に偽のYouTubeプラグインやFlash Playerプラグインをダウンロードしてインストールするようにと要求してくる詐欺も確認しました。これは、次のようなスクリプトによるものです。

このスカムは共有動画を装って、2012年12月の最終週から広まりました。

スクリプトがバックエンドで実行して、偽のYouTubeページに偽のYouTubeロゴを読み込みます。

このリンクから偽のYouTubeロゴが読み込まれます。

上のような偽のYouTubeページが表示される前に、計算がいくつか行われます。

リダイレクトリンクは、下の図のように、YouTubeセキュリティ確認の実行中であるという偽のYouTubeページを表示します。

赤枠で囲まれている数字を「Type code here」エリアに入力するように指示していますが、この数字は、裏で実行されるランダム演算により、定期的に変わります。

上の図でマークされているopacity値を変えると、コメントの入力を求めている場所が分かるようになります。

この時までにopacity値を変えて、コメントを入力したので、セキュリティ確認番号が変わりました。セキュリティ確認番号は、下記のようなスクリプトによってランダムに生成されます。

演算がいくつか行われた後、被害者のウォールに動画が表示されることを期待させる言い回しが現れます。

このタイプの詐欺でよく使われる表現は、次のようなものです。

  • オーマイゴッド!! この動画は10秒と見ていられませんよ
  • この動画を10秒以上見られるものなら見てごらんなさい

被害者の場所を知るために、もうひとつのスクリプト http://j.maxmind.com/app/geoip.js が注入されます。

最後に、ユーザーアカウントを確認しているというページが表示されます。しかし、動画は再生されません。

このWebページのソースを表示すると、スクリプトの詳細が分かります。インラインフレーム(iframe)が注入され、ウィンドウの手前に「Complete the Simple Step Below to Continue・・・!(続けるには以下の簡単なステップを完了させてください)」が表示されます。

本当なら、YouTubeのリンクが表示されるはずです。調べてみると、動画を表示するには、不足しているプラグインをインストールするように要求しています。

不足しているプラグインがインストールされると、被害者はポルノやいたずら動画を見ることができます。

Facebookでは、ユーザーの間に広がっているマルウェアと詐欺を監視しています。投稿の右上に表示される「スパムとして報告」ボタンをクリックすることにより、ユーザーは疑わしい投稿を詐欺としてFacebookに報告して、詐欺の蔓延を防ぐことができます。

Facebookに報告するためのページが表示されます。

このようにして、詐欺が自分の連絡先に広がらないようにできます。

動画を指すリンクが表示されたら、特に注意してください。友達のネットワークに感染を広げてしまうことになりかねません。また、このような詐欺は、別の画像、別のリダイレクトURL、別の誘い文句で何度も繰り返されます。今月、Facebookページをピンク色に変えることができる、とほのめかす以前存在した詐欺が再び現れました。感染しているかもしれないと思ったら、ウォールにこのような詐欺が貼り付けられていないか調べたり、友達に確認してもらったりしてください。場合によっては、ウォールに貼り付けられた詐欺が表示されず、感染したユーザー自身には見えないこともあります。

どれほど多くの調査項目に答えても、どんなサービスに登録しても、約束された動画やプレゼント、プロフィールが被害者に届くことはありません。

※本ページの内容はMcAfee Blogの抄訳です。
原文:YouTube Video Scam Targets Facebook Users