よつまお

雑記と過去ログ置き場。時々担当が入れ替わりながら、ゆるーく不定期更新していきます。

【不在通知?】佐川急便を騙ったフィッシング詐欺SMSが来た件【手口を検証】

 

新年早々、ショートメールが到着。まぁ結論から言うと完全なる迷惑メールというか、フィッシング詐欺なわけだが。

しかしめでたく年が明けてこんなメールしか来ない私って一体。。w

 

でもまぁ年末年始って贈り物のやり取りも多くなりがちだし、不在がちなこともあって

ふと荷物の心当たりがあったりすると、あながち引っかからない人がゼロではないんだろうなぁと。

 

さてさて、実際届いたのはこんなSMS。

f:id:yotsumao:20200107224559j:plain

お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。http://keatep.com/

うーん、実に香ばしいスパムの匂いがぷんぷんするぜぃww ってかそもそもホンモノの宅配業者だと荷物の「持ち戻り」って言わね?w

ちなみに記載のURLはどの業者だよ?ってレベルで明らかに知らないわけだけど、これ自体がランダムでどんどん使い捨てられて変わっている様子なので、画像のURLではないからといって油断は禁物。

 

詐欺集団側もあれこれ知恵を絞ってるわけだが、ショートメール送信やドメイン取得程度のコストなんてたかが知れているわけで、いわゆる数うちゃ当たる的な感じで1万人に1人程度でもトラップにかかってくれりゃ儲けものなんだろうね。

 

なお一応名誉のために(?)送信元の電話番号は隠してあげたw どこかの誰かが踏み台にされている可能性もゼロじゃないだろうからね。

 

そんなこんなで今回は、このなりすましSMSのリンク先およびその詐欺手口のひとつを調べてみた。

まずはドメインのWhoisから

ネット上のWhoisサービスを使ってドメインの情報を取得してみる。今回使用したのはお名前comさん。

f:id:yotsumao:20200107225310p:plain

どうやら年明けて1月5日に取得されたばかりのドメイン。

うーん、わざわざ親切に不在通知のメール送ってくれる宅配業者が、こんな歴史の浅いドメイン使ってるって一体ドコだろうねー(棒

せっかくなのでURLにアクセス

これだけじゃネタ的に面白くないので、実際にサイトにアクセスしてみる。

とはいえさすがに直接ブラウザ経由で行くのは狂気の沙汰な気がするので、今回使用したのはリンク先チェックツールのaguseさん。

まぁ安全面ではWin10ユーザーなら、標準機能のサンドボックス使ってみるのもアリかと。

f:id:yotsumao:20200107230111p:plain

さて、aguseさんでチェックすると表示されたサイトタイトルやmetaタグが佐川急便ww

ってことでどうやら佐川のコンテンツをコピーしたと思われる感じの詐欺サイトの様子。

さらに気になるところは外部サイトにリダイレクトされているってところ。ちなみにアドレスはdfews.xyz

こちらもじゃんじゃんランダムで使い捨てられているドメインなようなので、必ずしも同一ではないので注意。

 

なお一応カスペルスキーエンジンではサイトからマルウェアは検出されなかったそうな。

これだけで判断すれば、アクセスしただけで瞬時に何か被害に遭うってタイプのやり口ではない感じかな。

一応再びWhoisしてみる

まぁ特に新たな何か分かるわけではないと思うけれど、念のため再度リダイレクト先もWhois。

f:id:yotsumao:20200107230835p:plain

こちらも年明けに取得されているドメイン。1月6日取得なのでリダイレクト元と1日違いで新しい。

ちなみにどちらもレジストラはアメリカのホスティング業者でもあるnamecheap。

 

なおサイトのIPは128.14.50.35のUSサーバ。まぁこれらから他に何かが特定できるってわけでもないが。

引き続きリンク先チェッカー情報

さて続いて、さきほどのaguseさんのチェック結果画面のさらに下部。

f:id:yotsumao:20200107230648p:plain

一応現時点で当該サイトがブラックリストに登録されている情報は無いようだ。

とはいえ、こういったなりすましサイトは新しく作られては潰されてまた作れられ、、っていう無限ループを繰り返しているので、リスト入りしていなかったからといって本物だと思っちゃダメ。

詐欺サイトの手口は?

さて、一応アクセスしただけでウイルスに引っかかる感じでもなさそうだけど、実際どんなやり口なのか。

ここで先ほどのチェッカーが取得したサイトのスクリーンショットで気になる部分発見。

f:id:yotsumao:20200107231556p:plain

画面下部、貨物追跡サービスのところに「インストール」ってボタンが。

うん??例えばこれが本家佐川だったらこんなボタンあったっけ?と。

 

ってことで実際の佐川急便の本物の公式サイトに行ってみる。すると。

f:id:yotsumao:20200107231732p:plain

ほらね?本来は追跡番号を入れて、荷物の問い合わせ画面に遷移する検索ボックスがあるわけよ。

 

ってことでどうやら何かをインストールさせることが目的っぽい。そこで。

サイトのコンテンツを見てみる

とはいえやっぱり直にアクセスするのは無謀なので、再びさきほどのaguseさんが提供している「ゲートウェイ」と呼ばれる代理ブラウザ的な機能を使って、詐欺サイトのコンテンツを見に行ってみる。

 

そしてトップページを少しスクロールすると。

f:id:yotsumao:20200107232052p:plain

突然謎の「設定マニュアル」が登場ww しかもなぜかAndroid向け限定ww

いまどき日本向けにもかかわらずiPhone未対応のアプリしか無いとかどんな配送業者だろうねー(棒

 

さらにメーカー名丸出しのサムソン製スマホの画面載せてるとかどんなマニュアルだよっていうツッコミを心の中でしつつ、続けてスクロール。

f:id:yotsumao:20200107232401p:plain

セキュリティ設定内の提供元不明のアプリのチェックをオンにしろと。まぁ要は野良アプリをインストールできるようにしろってことだよねw

 

さてまだマニュアルは続く。

f:id:yotsumao:20200107232554p:plain

ここでさっき見たサイトトップの上部にあるインストールボタンを押せと。

 

んでマニュアルは続く。。

f:id:yotsumao:20200107232736p:plain

sagawa.apkってアプリがダウンロードされるので、開けと。

ちなみにスクショ内のダウンロード通知バーにjppost-3.apk?っていうアプリも表示されていて、こいつら郵便局に似せた詐欺サイトも運営してやがるな?wって感じ。

 

ようやくマニュアル画面最後。

f:id:yotsumao:20200107233254p:plain

インストールできたらあとは開くボタンをタップするとお荷物の確認ができますよーってことで、もはや完全によからぬことが起こることしか考えられない感じw

 

ちなみにこのフロー内で確認できるパーミッションはテキストメッセージやSDカードの読み取り、そしてネットワークのフルアクセス、起動時の実行などなど。

実際にこのほかにどんな権限を使ってどんな動きをするのか知りたい人は、BlueStacksなどなどのアンドロイドエミュレータでも使用して人柱になってみてね(はぁと

 

まぁ予想的には普通に個人情報など抜き取って、クレカなり入力させるのが目的なのかなーと思ったりするわけだが。

やり口はまさに多種多様

ただここまで見てきて、一つ詐欺サイト運営者に言いたいことがある。

たぶん冒頭のSMS内のリンクをポチっとしちゃうようなリテラシーの人は、わざわざサイト内にこんなマニュアルを載せたところでやってくれないどころか、むしろ分からない可能性の方が高いんじゃないかっていうww

まぁとは言っても、実は今回私に来たSMSからアクセスできるサイトは、数ある佐川フィッシングサイトのほんの一部。

 

これ以外にも手口は手を変え品を変え、かなり凝っているものをじゃんじゃん量産している様子。当然このことは佐川急便本体も把握していて、

佐川急便を装った迷惑メールが届くというお問い合わせが急増しております。
このような迷惑メールに記載されているアドレスにアクセスしたり、添付ファイルを開いたりされますとコンピューターウィルスに感染する恐れがございますのでご注意ください。なお、当社では荷物の集配についてショートメールによるご案内は行っておりません。

迷惑メールであるか分からないなど、不明な点がございましたら佐川急便Webサイト内「ご意見・お問い合わせ」までお問い合わせください。

という感じで注意喚起されている。

 

なおこの下記の公式ページ内には実際の事例なども記載されているので要確認。

佐川急便を装った迷惑メールにご注意くださ...│お知らせ│佐川急便株式会社<SGホールディングスグループ>

中にはあなたに賞金プレゼント!的なやり口もあるそうで、佐川がそんなんやるわけないやろwっていうツッコミは置いておいて、やっぱり人の欲だったり不安に付け込むのが基本の方向性なんだよね。

 

自分は絶対大丈夫!!ってみんな思うけれど、フィッシングの罠を仕掛ける側だって引っかかってくれる人が1人でもいるからこそやり続けられるって側面もあって。

その1人に自分がならないように、真偽不明の情報はパニックにならずまず調べてみる、ってスタンスが大事だよねって改めて思った次第。

 

てかそもそもSMSってランダム爆撃で送られてきたのかなぁ?まぁ件のショートメールが来たスマホの電話番号って単純な数字なわけだけど。

もしどこかから個人情報流出してたら嫌だなぁって思いつつ、インターネッツはいつになっても騙し騙されの怖い世界だなって思ったわw