at backyard

Color my life with the chaos of trouble.

【実際の画像あり】佐川急便を装った偽物の不在ショートメール(SMS)を開いてしまったので、諸々調べてみた

フィッシング

佐川急便を装った偽物の不在ショートメール(SMS)を開いてしまったので、諸々調べてみた

先日こんなSMSが私のiPhoneに届き、ついつい条件反射的にリンクに触れてしまい、ページを開いてしまいました!!

f:id:shinshin86:20200223092651j:plain

下記の佐川の公式サイトでも注意喚起されていますが、私が受け取ったのはこの "事例2"に該当します。

【佐川急便】|お知らせ

SMSの送信元が +81 90~ から始まる番号だったため、 日本の番号=問題なさそう と思い、普通にクリックしてしまいましたが、SMSに記載されているURLは明らかに佐川のものではありませんでした。

ちなみにこの番号についてはまだ、電話番号の口コミサイト的なところでは悪い口コミのようなものを見つけることは出来ませんでしたが、サイトによっては今年に入ってからすでにこの番号での検索が何度かされていたようなので、怪しい番号であることは間違いないようでした。

しかも このご時世、SMS内に記載されているURLが https じゃなかったので、まずは一旦そこで考えるべきでした。
(現在は基本的にサイトのURLは https が基本となっています。そのため http の段階で、一旦冷静になるべきだったと反省)

つい体が勝手に動いてしまい、、、日々の習慣って怖い。。。

ちなみにテキストに記載されているURLをしらべてみたところ、どうやら先週頃に取得されたドメインのようでした。
もちろん断定はできませんが、不正利用するために取得されたドメインということでしょうか?

といっても、URLに触ってしまえば後の祭り、iPhonesafariが起動し、リンク先に遷移します。
ちなみにこのリンク先に遷移する段階で一度リダイレクト処理が入り、別のURLに更に遷移しました。
〇〇.xyz という感じのドメインで、明らかに捨てドメインといった感じのネーミングそちらを検索してみると、すでにドメインは破棄されているようでした。

f:id:shinshin86:20200223092730j:plain

APP Storeアカウントは安全異常があるので、再度ログインしてください。

サイトにアクセスすると、APP Storeアカウントは安全異常があるので、再度ログインしてください。 というアラートが表示されます。
日本語がおかしいですね。後述しますが、ここでCloseを押すと、さらにリダイレクトが挟まり、また別のドメインに遷移します。
そのため、アラームの後ろで表示されているサイト内にログインリンクが有るかは分かりませんでしたが、フォーム内にログイン情報を入力させて情報を抜き取ろうという手口でしょうか?
これは想像ですが、Apple IDなどを入力させ、iTunesカードをだまし取ろうとするフィッシング系の手口かと思われます。

追記:アクセスしたスマートフォンAndroid端末だった場合は不正アプリのインストールが促される?

上のキャプチャを見た感じ、インストールという文言が見えますね。
(佐川の公式サイトを見た限り、本来ここには送り状NOを入力するためのフォームが設置されているようでしたが、インストールというボタンに置き換わっています。)
また、Androidの設定画面にて何らかの操作を促すようなキャプチャも見えます。
不正アプリのインストールを促そうとしていることがこれらの画像からわかります。

おそらくはページを開いたときにJavaScriptでアクセスしている端末を判定し、それによって挙動を変えているのかと思われます。

ユーザーエージェント文字列を用いたブラウザーの判定 - HTTP | MDN

上記のアラートを閉じると、上にも書いたとおり、更に別のドメインにリダイレクトされます。
ただし、そのリダイレクト先のページはすでに存在していないようで、Safari側でエラーメッセージが表示されます。

f:id:shinshin86:20200223092807j:plain

もしかしたらここでApple IDなどの入力画面が出てくる設計だったのかもしれません。
すでにもうこのドメイン自体は使われていないようでした。
なおドメイン名はこちらも〇〇.xyz という感じのドメインで、明らかに捨てドメインといった感じのネーミングです。

佐川急便を装った偽物の不在ショートメールはフィッシングをさせることが目的?

今回の挙動を整理するに、下記のような挙動となっていました。

  1. SMSのリンククリック
  2. 1つ目のドメイン(アクセスするとリダイレクト処理)
  3. 2つ目のドメイン(アクセスするとリダイレクト処理)
  4. 3つ目のドメイン(NOT FOUNDが表示。恐らくはここでApple IDなどを入力させてiTunesカードを買わせようと予想)

このような事例として、不正アプリをインストールさせるということが目的のパターンもあるようでしたが、今回の一連の挙動を見るにはおそらくはiTunesカードを買わせようというフィッシング目的のもののように感じました。
(追記で書きましたが、私の端末がiPhoneだったため、こういう挙動をしていた可能性がありそうです)

スマートフォン上では触ってしまえばリンクは開いてしまいます。
リンクに触れる前に一呼吸置くよう意識しなければと痛感した今日このごろでした。