6月 26

ウェブマネー をかたるフィッシングサイトにひっかかってみました。

ということで今回もひっかかってみました。

またまた、今回も自分のアカウントを持っていないサービスです。
というわけで早速、フィッシングサイトと本物のページを見比べてみましょう。

【本物】
trustpage_webmoney

【ニセモノ】
00_webmoney

ボクのアクセスしたタイミングのせいなのかもしれませんが【ニセモノ】はソフトウェアキーボードの画像がリンク切れを起こしていますね。
ちなみにリンク切れしている画像のURLにアクセスしてみた結果は下図です。
02_webmoney
IISのデフォルトエラーページですね。
このソフトウェアキーボードの画像が置かれていたと思われるサーバは「smarteraASP.NET」というホスティングサービスの会社でした。
ここだけ対処されたということなのでしょうか?

さて、ウォレットIDとパスワード、セキュアパスワードにあり得ない文字列を入力してログインボタンを押してみました。
01_webmoney
すると、【本物】のウェブマネーのトップページにリダイレクトされました。
以前にひっかかってみた銀行のフィッシングサイトとは違ってとてもシンプルなものですね。
意外とあり得ないほど乱数表を入力させるよりはこれくらいシンプルなほうが引っかかり易いとも考えられますね。
また、情報を盗んでからリダイレクトするなら見た目が同じの【本物】のログインページにしたほうが
ユーザは「入力ミスしたのかな?」と騙せるような気もしなくもないのですが
このフィッシングサイトは、どうして、わざわざ【本物】のトップページにリダイレクトしているのでしょうね。

ということで以下は今回のフィッシングに利用されたメールの本文です。

お客様
株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願い
します。

https://member.webmoney.ne.jp/

もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ウェブマネー ウォレット

■ウェブマネー ウォレットに関するお問い合わせ
サポートセンター(平日 10:00〜18:00 土日祝祭日を除く)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

(記載されているリンクは本物のURLですがクリックするとフィッシングサイトにアクセスするように細工されています。)

ここで気になったのは「株式会社营团社サービスシステム」という社名です。
この名前で検索すると過去に「スクウェア・エニックス」や「ハンゲーム」のフィッシングメールが送信されていたようです。
ちなみに「营团社」というのは日本語表記にすると「営団社」となります。
そして、エニックスの母体となった社名は「株式会社営団社募集サービスセンター」だそうです。

ボクも調べて初めて
感知しました!

以上です。

【2014/06/26追記 その1】
上記、フィッシングサイトを調べていたら同じサーバ上に
別のフィッシングサイトの設置を見つけてしまいました。
こちらはハンゲームのサイトです。

【本物】
00_hangame

【ニセモノ】
01_hangame
比べるまでもなくそっくりであります。
サイトの挙動も上記の「ウェブマネー」のものと同じでした。
また、faviconを比べてみたのですが「ウェブマネー」のときと同じfaviconですね。

【ウェブマネーのニセモノと本物のサイトのfavicon】
favi01

【ハンゲームのニセモノと本物のサイトのfavicon】
favi02

【2014/06/26追記 その2】
@NaomiSuzuki_さんに別の人(組織?)が運営していると思われる「ウェブマネー」のフィッシングサイトを教えていただきました。
こちらは先に紹介したものと違いソフトウェアキーボードの画像のリンク切れはありませんでした。
webmoney_comp

さらに、faviconもオリジナルサイトと同じものでした。
favicon03

また、認証情報を入力し、ログインボタンを押した時の挙動も前のものと異なっており
オリジナルサイトのトップページにリダイレクトするのではなく、オリジナルサイトのログイン画面にリダイレクトするようになっていました。
(つまり、見た目には同じページが再度表示されるということです。)



Copyright 2017. All rights reserved.

Posted 2014年6月26日 by ntsuji in category "phishing