CVE-2021-22055

Read Time:8 Second

The SchedulerServer in Vmware photon allows remote attackers to inject logs through r in the package parameter. Attackers can also insert malicious data and fake entries.

Read More

18歳から成人 自由なライフスタイルを楽しむポイント

Read Time:56 Second

日本・アジア地域チャネルマーケティング 執行役員 本部長 青木 大知

 

4月1日から改正民法が施行され、日本の成人年齢が18歳に引き下げられました。今月から18歳、19歳の人は法律上、大人と扱われ、アパートや携帯電話の契約なども一人でできることになりました。もちろん自由が広がった分だけ、大人としての責任も背負うことになります。

とはいえ18歳、19歳はまだまだ社会経験が少ない年齢。ネット上でもリアルでも、若い世代をターゲットにした詐欺や悪徳商法が、これまでも後を絶ちませんでした。そんな落とし穴から自分の身を守るのもまた、大人が持っておきたい知恵といえます。

自分らしいライフスタイルを楽しむために知っておきたい、大人になったからこそ注意したいことをまとめてみました。

 

18歳の新成人、新生活は油断大敵

高校を卒業して、念願の一人暮らし。18歳成年になったことで、クレジットカード、携帯電話、アパートの入居、ローンなど、さまざまな契約が親の同意がなくても可能になりました。そのほか有効期間10年のパスポートの取得や、一部国家資格の取得などもできるように。いわば進路や住む場所、生き方を自分一人で考え、決めることもできるようになったのです。

そんな人が住む部屋には、怪しい訪問者もやってきます。電力やネット回線のセールスから、エステや美容商品、アダルト商品など、さまざまな誘い文句のセールス、勧誘と出合うことでしょう。なかには詐欺商法や、多額の借金を負わせようと狙っているものも多数あり、その場で契約をすると、後で後悔することになりかねません。

街なかや新生活での新しい交友関係の中でも、油断は禁物。芸能事務所へのスカウトや、おいしい副業の話、また異性からの恋愛めいた誘いにも罠があります。「就活商法」「オーディション商法」「デート商法」などと呼ばれますが、いつの間にか断れない雰囲気で、高額商品の購入やローン契約を迫ったり、マルチ商法に勧誘されたりする場合があるのです。知り合って間もない相手に個人情報を伝えたり、ましてや書類にサインしたりするのはもってのほかです。

未成年者が結んだ契約は、多くの場合には取り消すことが可能です。しかし18歳の成人になると、取り消しを求めることは一気に困難になってきます。

ほかにも飲酒や喫煙、競馬などは20歳までできないのはこれまでと変わないので、油断なく。18歳でできること、できないことについて詳しくは政府広報オンライン にまとめられていますので、一度確認しておきましょう。

 

自由に使えるからこそ、ネットでも慎重に

自分名義でネット回線やスマホを契約する機会も多くなるのではないでしょうか。ネットやアプリを制限なく自由に使えるようになると、未成年の時より、世界がずっと広がるでしょう。

一方で、お金の管理に慣れないうちは、オンライン通販で買いすぎてしまうのも「あるある」。購入ボタンを押したら、契約が成立したことになってしまうので、即決せずにしっかり考えなければなりません。売り文句に乗せられて後悔しないためにも、「買う前に1週間時間を空ける」「本当に使うのか考える」といった自分ルールを決めておくのがおすすめです。

訪問販売やキャッチセールスなどでは、購入後の一定期間内なら解約できるクーリングオフ制度がありますが、オンライン通販の場合は、法律的には定められていません。通販サイト側で返品条件を定めていれば、それに従って対応できるので、事前に確認しておきましょう。

通販サイトでありがちな別のトラブルに、1回だけ買ったつもりが定期購入になっており、毎月お金が請求されるというケースがあります。同じように動画配信サイトや情報サイトなどのサブスクリプション(月額課金制)も、いくつも契約してしまうと「毎月の支払いだけでアルバイト代がなくなってしまう……」などということになりかねません。しっかり、毎月いくら分契約しているのか、把握しておくことが大切です。

オンラインゲームにも落とし穴が。子どもの高額課金といったトラブルを見聞きしたことがあると思いますが、成人が自分の判断で決済ボタンを押してしまうと、取り消すことはより難しくなってきます。

もちろん、SNSで見付けたもうけ話が詐欺だったり、ネットで申し込んだエステの無料体験からいつの間にか高額ローンに誘われたりと、おいしい話の向こう側に罠があるのは、リアル社会と変わりません。

 

トラブルに巻き込まれたとき知っておきたいこと

お金と契約のトラブルに巻き込まれたとき、どんな行動をすれば良いのでしょうか。

「高級品が欲しい」「高額の請求が支払えない」からといって、慌てて消費者金融から借り入れすると、多額の利子を背負って悪循環になってしまう場合があります。またクレジットカードなどのリボ払いも、多額の手数料で貸し手が儲ける仕組みになっています。

一人ひとりの日常生活のうえで、多額の借金をしてまで必要な商品や契約はありません。契約を結ぶときは慌てず、時間をかけて考えてからサインを。時間を空けるだけでも冷静になり、「なぜあんなに欲しかったのか分からない」と思うことも多いものです。急かしてくる相手こそ、よからぬ目的を持っている可能性があります。きっぱり断ることも、大人の自覚といえるでしょう。

このような消費者トラブルに巻き込まれた場合には、自分一人で解決しようとせず、消費生活センターといった公的機関に早めに相談することも大切です。最寄りのセンターを訪ねるだけでなく、消費者ホットライン「188」番に電話すると土日・祝日も相談に乗ってくれます。国民生活センターのホームページには、若者に多いトラブル事例もまとめられていますので、こちらも参考になるかもしれません。

ネット上では契約トラブルやお金の使いすぎのほか、アダルトサイトなどで、登録画面もなく支払いを求められる場合は架空請求詐欺とみて間違いありません。そうした場合は支払いや連絡は、決してしないでください。ネット上で注意すべき詐欺の事例や、基本の対策方法 など、このMcAfeeのブログでも随時紹介しています。ぜひチェックして、参考にしてみてください。またセキュリティソフトを利用していれば、詐欺サイトに警告表示が出るなど、被害の予防にもつながります。

この4月に新成人、また進学や就職をされた皆さん、ぜひ安全で楽しい新生活をお楽しみください。

 

最新情報を入手する

マカフィーに関する最新情報や、コンシューマーやモバイルのセキュリティ脅威に関する最新情報を入手するには、Twitter の @McAfee_JP_Sec をフォローお願いします。

The post 18歳から成人 自由なライフスタイルを楽しむポイント appeared first on McAfee Blog.

Read More

Double-Your-Crypto Scams Share Crypto Scam Host

Read Time:7 Minute, 3 Second

Online scams that try to separate the unwary from their cryptocurrency are a dime a dozen, but a great many seemingly disparate crypto scam websites tend to rely on the same dodgy infrastructure providers to remain online in the face of massive fraud and abuse complaints from their erstwhile customers. Here’s a closer look at hundreds of phony crypto investment schemes that are all connected through a hosting provider which caters to people running crypto scams.

A security researcher recently shared with KrebsOnSecurity an email he received from someone who said they foolishly invested an entire bitcoin (currently worth ~USD $43,000) at a website called ark-x2[.]org, which promised to double any cryptocurrency investment made with the site.

The ark-x2[.]org site pretended to be a crypto giveaway website run by Cathie Wood, the founder and CEO of ARKinvest, an established Florida company that manages several exchange-traded investment funds. This is hardly the first time scammers have impersonated Wood or ARKinvest; a tweet from Wood in 2020 warned that the company would never use YouTube, Twitter, Instagram or any social media to solicit money.

At the crux of these scams are well-orchestrated video productions published on YouTube and Facebook that claim to be a “live event” featuring famous billionaires. In reality, these videos just rehash older footage while peppering viewers with prompts to sign up at a scam investment site — one they claim has been endorsed by the celebrities.

“I was watching a live video at YouTube where Elon Musk, Cathy Wood, and Jack Dorsey were talking about Crypto,” the victim told my security researcher friend. “An overlay on the video pointed to subscribing to the event at their website. I’ve been following Cathy Wood in her analysis on financial markets, so I was in a comfortable and trusted environment. The three of them are bitcoin maximalists in a sense, so it made perfect sense they were organizing a giveaway.”

“Without any doubt (other than whether the transfer would go through), I sent them 1 BTC (~$42,800), and they were supposed to return 2 BTC back,” the victim continued. “In hindsight, this was an obvious scam. But the live video and the ARK Invest website is what produced the trusted environment to me. I realized a few minutes later, when the live video looped. It wasn’t actually live, but a replay of a video from 6 months ago.”

Ark-x2[.]org is no longer online. But a look at the Internet address historically tied to this domain (186.2.171.79) shows the same address is used to host or park hundreds of other newly-minted crypto scam domains, including coinbase-x2[.]net (pictured below).

The crypto scam site coinbase-x2[.]net, which snares unwary investors with promises of free money.

Typical of crypto scam sites, Coinbase-x2 promises a chance to win 50,000 ETH (Ethereum virtual currency), plus a “welcome bonus” wherein they promise to double any crypto investment made with the platform. But everyone who falls for this greed trap soon discovers they won’t be getting anything in return, and that their “investment” is gone forever.

There isn’t a lot of information about who bought these crypto scam domains, as most of them were registered in the past month at registrars that automatically redact the site’s WHOIS ownership records.

However, several dozen of the domains are in the .us domain space, which is technically supposed to be reserved for entities physically based in the United States. Those Dot-us domains all contain the registrant name Sergei Orlovets from Moscow, the email address ulaninkirill52@gmail.com, and the phone number +7.9914500893. Unfortunately, each of these clues lead to a dead end, meaning they were likely picked and used solely for these scam sites.

A dig into the Domain Name Server (DNS) records for Coinbase-x2[.]net shows it is hosted at a service called Cryptohost[.]to. Cryptohost also controls several other address ranges, including 194.31.98.X, which is currently home to even more crypto scam websites, many targeting lesser-known cryptocurrencies like Polkadot.

An ad posted to the Russian-language hacking forum BHF last month touted Cryptohost as a “bulletproof hosting provider for all your projects,” i.e., it can be relied upon to ignore abuse complaints about its customers.

“Why choose us? We don’t keep your logs!,” someone claiming to represent Cryptohost wrote to denizens of BHF.

Cryptohost says its service is backstopped by DDoS-Guard, a Russian company that has featured here recently for providing services to the sanctioned terrorist group Hamas and to the conspiracy theory groups QAnon/8chan.

A scam site at Cryptohost targeting Polkadot cryptocurrency holders.

Cryptohost did not respond to requests for comment.

Signing up as a customer at Cryptohost presents a control panel that includes the IP address 188.127.235.21, which belongs to a hosting provider in Moscow called SmartApe. SmartApe says its main advantage is unlimited disk space, “which allows you to host an unlimited number of sites for little money.”

According to FinTelegram, a blog that bills itself as a crowdsourced financial intelligence service that covers investment scams, SmartApe is a “Russian-Israeli hosting company for cybercriminals.”

SmartApe CEO Mark Tepterev declined to comment on the allegations from FinTelegram, but said the company has thousands of clients, some of whom have their own clients.

Cryptohost’s customer panel, which points to an IP address at Russian hosting provider SmartApe.

“Also we host other hostings that have their own thousands of customers,” Tepterev said. “Of course, there are clients who use our services in their dubious interests. We immediately block such clients upon receipt of justified complaints.”

Much of the text used in these scam sites has been invoked verbatim in similar schemes dating back at least two years, and it’s likely that scam website templates are re-used so long as they continue to reel in new investors. Searching online for the phrase “During this unique event we will give you a chance to win” reveals many current and former sites tied to this scam.

While it may seem incredible that people will fall for stuff like this, such scams reliably generate decent profits. When Twitter got hacked in July 2020 and some of the most-followed celebrity accounts on Twitter started tweeting double-your-crypto offers, 383 people sent more than $100,000 in a few hours.

In Sept. 2021, the Bitcoin Foundation (bitcoin.org) was hacked, with the intruders placing a pop-up message on the site asking visitors to send money. The message said any sent funds would be doubled and returned, claiming that the Bitcoin Foundation had set up the program as a way of “giving back to the community.” The brief scam netted more than $17,000.

According to the U.S. Federal Trade Commission, nearly 7,000 people lost more than $80 million in crypto scams from October 2020 through March 2021 based on consumer fraud reports. That’s a significant jump from the year prior, when the FTC tracked just 570 cryptocurrency investment scam complaints totaling $7.5 million.

A recent report from blockchain analysis firm Chainalysis found that scammers stole approximately $14 billion worth of cryptocurrency in 2021 — nearly twice the $7.8 billion stolen by scammers in 2020, the report found.

In March, Australia’s competition watchdog filed a lawsuit against Facebook owner Meta Platforms, alleging the social media giant failed to prevent scammers using its platform to promote fake ads featuring well-known people. The complaint alleges the advertisements, which endorsed investment in cryptocurrency or money-making schemes, could have misled Facebook users into believing they were promoted by famous Australians.

In many ways, the crypto giveaway scam is a natural extension of perhaps the oldest cyber fraud in the book: Advanced-fee fraud. Most commonly associated with Nigerian Letter or “419” fraud and lottery/sweepstakes schemes, advanced fee scams promise a financial windfall if only the intended recipient will step up and claim what is rightfully theirs — and oh by the way just pay this small administrative fee and we’ll send the money.

What makes these double-your-crypto sites successful is not just ignorance and avarice, but the idea held by many novice investors that cryptocurrencies are somehow magical money-minting machines, or perhaps virtual slot machines that will eventually pay off if one simply deposits enough coinage.

Read More

CVE-2021-25090

Read Time:18 Second

The Portfolio Gallery, Product Catalog WordPress plugin before 2.1.0 does not have authorisation and CSRF checks in various functions related to AJAX actions, allowing any authenticated users, such as subscriber, to call them. Due to the lack of sanitisation and escaping, it could also allows attackers to perform Cross-Site Scripting attacks on pages where a Portfolio is embed

Read More