6月 27

SMBCダイレクト をかたるフィッシングサイトにひっかかってみました。



ということで今回も引っかかってみました。
まずは本物とニセモノ比較。

【本物】
00_trust_smbc

【ニセモノ】
00_smbc

いつものように見た目全く同じですね。
ただ、ソフトウェアキーボードを使おうとすると違いが見られました。

【本物】
sk_trust

【ニセモノ】
sk_fake

それでは適当な情報を入力して先に進んでみます。
ログインボタンから進むと乱数表の入力を求められます。
綺麗に横一列すべてですね。
02_smbc
この後、他の部分もすべて入力が求められました。
以前に書いた三菱東京UFJ銀行のフィッシングサイトと同じパターンですね。

ちなみにログインのところやこの乱数表入力のところどこかで入力せずに進もうとするとこんなページが表示されます。
nop

そして、乱数表の入力ラッシュが完了すると最後にここにリダイレクトされました。
lastpage
インターネットバンキングのトップページじゃなくてなぜか生命保険のトップページに… どうして?

今回のものはメールで以下のようはHTMLで来るそうです。
phi_ref
「本人認証サービス」と書かれたところをクリックすると一旦、HTMLファイルを経由して
当該フィッシングサイトにリダイレクトされるようになっていました。
その一旦経由するファイルのソースコードを見てみると

<meta http-equiv=”Content-Language” content=”zh-CN”>
<meta HTTP-EQUIV=”Content-Type” CONTENT=”text/html; charset=gb2312″>

とありました。
「gb2312」は、簡体中国語の文字コードセットですね。

ちなみに今回のサイトなのですがホストアドレスをIPアドレスに正引きしたものを再度逆引きしてみると日本のプロバイダのものになっていました。
踏み台にされていたりするのでしょうか。
dig

ちなみにこのサーバ上には「三菱東京UFJ銀行」「そな銀行」…じゃなくて、「りそな銀行」のフィッシングサイトもホストされていました。

以上です。



Copyright 2017. All rights reserved.

Posted 2014年6月27日 by ntsuji in category "phishing