9月 5

Club NTT-Westをかたるフィッシングにひっかかってみました。



久しぶりにひっかかってみました。

ということで本物と偽物の比較。

【本物】
true

【偽物】
01

相変わらず見た目そっくりですね。
入力のエラーチェックまで同じ挙動。
02

スクロールした際にでてくるメッセージが出てくるというのも同じ。
part

ただ、本物と偽物ではWebサーバの構成が違うようでブラウザのプラグインの反応が以下のように異なりました。

【本物】
t

【偽物】
f

偽物はIISで以下がNot Foundの画面です。
error

実際に情報を適当なものを入力してページ下部にある「次へ進む」を押したところ以下のページにリダイレクトされました。
03

入力させて、何事もなかったのように別のページにリダイレクトするというのは割と常套手段なのですが今回が多くのフィッシングサイトと違うところはIDとパスワードを入力させて盗むタイプのものではないということでしょうか。
今回、盗もうとしている情報は

・ご契約回線名義
・設置場所の郵便番号
・回線ID

の3つです。
気になったので「club NTT-West」の会員ログインのページを確認したところ下図のように会員IDとパスワードに加えて「お客様ID」もしくは「回線ID」が必要だということが分かりました。
したがって、攻撃者が欲しい情報は「回線ID」なのではないかと思います。

もしかすると、攻撃者はすでに何かしらの形で攻撃を行うためのリスト(IDとパスワードがセットのもの)は持っているものの3つめに必要な「お客様ID」もしくは「回線ID」を持っていないため、このようなフィッシングサイトを設置したのかもしれませんね。

以上です。

【同日追記】
Twitterでフィッシングサイトにログインページも存在するということを教えていただきました。
auth




Copyright 2017. All rights reserved.

Posted 2014年9月5日 by ntsuji in category "phishing