9月 5

Club NTT-Westをかたるフィッシングにひっかかってみました。



久しぶりにひっかかってみました。

ということで本物と偽物の比較。

【本物】
true

【偽物】
01

相変わらず見た目そっくりですね。
入力のエラーチェックまで同じ挙動。
02

スクロールした際にでてくるメッセージが出てくるというのも同じ。
part

ただ、本物と偽物ではWebサーバの構成が違うようでブラウザのプラグインの反応が以下のように異なりました。

【本物】
t

【偽物】
f

偽物はIISで以下がNot Foundの画面です。
error

実際に情報を適当なものを入力してページ下部にある「次へ進む」を押したところ以下のページにリダイレクトされました。
03

入力させて、何事もなかったのように別のページにリダイレクトするというのは割と常套手段なのですが今回が多くのフィッシングサイトと違うところはIDとパスワードを入力させて盗むタイプのものではないということでしょうか。
今回、盗もうとしている情報は

・ご契約回線名義
・設置場所の郵便番号
・回線ID

の3つです。
気になったので「club NTT-West」の会員ログインのページを確認したところ下図のように会員IDとパスワードに加えて「お客様ID」もしくは「回線ID」が必要だということが分かりました。
したがって、攻撃者が欲しい情報は「回線ID」なのではないかと思います。

もしかすると、攻撃者はすでに何かしらの形で攻撃を行うためのリスト(IDとパスワードがセットのもの)は持っているものの3つめに必要な「お客様ID」もしくは「回線ID」を持っていないため、このようなフィッシングサイトを設置したのかもしれませんね。

以上です。

【同日追記】
Twitterでフィッシングサイトにログインページも存在するということを教えていただきました。
auth


Category: phishing | Club NTT-Westをかたるフィッシングにひっかかってみました。 はコメントを受け付けていません
8月 31

Wiresharkによる無線LAN通信の復号手順メモ

本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、一切責任を負いかねます。ご了承ください。

ひょんなきっかけで接続されているパスワードが設定されており、暗号化された無線LANを流れる自分以外の通信を復号できるかどうかということの再確認を「Wireshark」を用いて行ったのでそちらの手順のメモです。前提条件として、その無線LANに接続しているユーザはWPA2 Personalで共通のパスワードで接続しているというものです。
また、今回、Wiresharkを動作させているコンピュータはMacOSです。

まず、「Wireshark」を起動してメニューバーの

[Capture]→[Options]

を選択し、[Capture Options]ウインドウを表示します。
01

表示されたウインドウ内に表示されている中からパケットを収集するネットワークカードを選択して、ダブルクリックをします。すると下図のように[Edit Interface Settings]ウインドウが表示されますので
02

[Capture packets in promiscuous mode]
[Capture packets in monitor mode]

のそれぞれにチェックをします。

[Edit InterfaceSettings]ウインドウを[OK]で閉じ、[Capture Options]ウインドウを[Close]で閉じます。

次にメニューバーから

「Edit」 → 「Preferences…」

を選択し、[Preferences]ウインドウを開き、左ペインの[Protocols]を開き[IEEE 802.11]を選択します。
そうすると右ペインの表示が変化するので
[Enable decryption]にチェックを付けて
[Decryption Keys:]の[Edit…]ボタンをクリックします。
03

すると[WEP and WPA Decryption Keys]ウインドウが開きます。
04-1

そして、[New]ボタンをクリックし、復号したい通信が流れる無線LANアクセスポイントの暗号化方式[Key Type]とパスフレーズとSSIDを入力をします。今回は[WPA-PWD]の通信を復号するため[Key]の部分は

Passphrase:ssid

という形式で入力します。
04-03

上記ウインドウ、[WEP and WPA Decryption Keys]ウインドウ、[Preferences]ウインドウを[OK]で閉じます。

これで準備は整いました。後は通信をキャプチャするだけで、条件に合致した通信は復号されて読むことができるようになります。
05

下図は、復号を行った状態と行っていない状態での通信の内容を表示したものです。
復号後のものはアクセスしたサイトのアドレスが表示されています。

【復号前】
09

【復号後】
07

Category: memo | Wiresharkによる無線LAN通信の復号手順メモ はコメントを受け付けていません
8月 25

模倣サイトと呼ばれている「3s3s」について

各所から「模倣サイト」に関する注意喚起が出されています。多くの注意喚起は
「コンピュータウィルスに感染するなどの恐れがあり」といったような文言を添えて注意喚起をしています。模倣サイトとされているサイトのドメインは伏せられていることが殆どですが一部の発表によると「3s3s.org」というドメインのようです。
このあたりについてはpiyokangoさんがまとめを作られているので参照いただければと思います。

さて、この「3s3s」は一体どのようなサイトなのか?ということなのですが、それについてはトップページに書かれています。

3s3s01

Your favorite site someone has blocked? You do not like censorship?
Enter the site address in the text box below and click “Unblock”.

「あなたのお気に入りのサイト誰が誰かにブロックされましたか?あなたは検閲を好みませんか?
以下のテキストボックスにサイトのアドレスを入力し、「ブロックを解除する」をクリックしてください。」
といったところでしょうか。

この言葉通りであれば、何かしらの理由でユーザが見たいサイトがブロックされている場合、この「3s3s」を経由することで目的のサイトを見られるようにするというものだと考えられます。
「http://n.pentest.ninja/」というアドレスがブロックされているとすると「3s3s」を経由することで「http://n.pentest.ninja.3s3s.org/」というアドレスになり、閲覧できるようものだということです。つまり、誰かが意図的に作成したサイトではなく、元のサイトのまま表示させているため注意喚起のようにコンピュータウイルスの感染は考えられないということになります。もし、「3s3s」のほうにコンピュータウイルスに感染する危険性があるのであれば、元のサイトにもコンピュータウイルスに感染する危険性があるということになりますので本末転倒です。

また、この「3s3s」を経由すると「3s3s」が指定したサイトにアクセスを行ってきますので「3s3s.org」からのアクセスを「.htaccess」やファイアウォールなどでブロックすれば、各サイトで呼ばれているような「模倣サイト」の作成は防ぐことができるようになりますので、どうしても防ぎたいという場合は注意喚起をする前にそちらを実施すればいいのだと思います。
「.htaccess」によるブロックの方法は、Yuta Hayakawaさんがブログに書いてくださっています
さて、「模倣サイト」という言葉なのですが、こちらはこの言葉でいいのでしょうか。
ボクははじめ注意喚起していたことにTwitterで以下のようにつぶやきました。

これは「模倣サイト」という言葉に対して「コピー」という表現を使ったのですがこれに対してご指摘をいただきました。


※ また、北河拓士さんはTogetterにもこの件についてのまとめを作成してくださっています

おっしゃる通りで、このとき完全にコピーするよりも、プロクシのような仕組みのほうが「3s3s」自身の負荷も減らすこともできるのでこちらの可能性が高いかもしれないと思いました。

その後、piyokangoさんが「3s3s」の管理者に質問をしてくださったようでProxyであると明言されていますね。

何れにしてもこの「3s3s」は現在のところ仕組み上コンピュータウイルスに感染するようなものではないということが言えます。
もちろん、このサイトの管理者やこのサイトを乗っ取った攻撃者がある日「3s3s」を経由してのアクセスしたユーザに不正なスクリプトを埋め込むということをすれば、その瞬間からコンピュータウイルスに感染するというようなものに変更できなくはありませんが現在、各所で注意喚起されているものと
現在の「3s3s」の挙動は合致しない説明であると言えると思います。

ここまで書いてふと思い出したのですが過去にも似たようなことがありました。
昨年の4月11日にボクは以下のようなツイートをしています。

このつぶやきは、中国のドメインでフィッシングサイトらしきものが作成されているという注意喚起がされたときのものです。しかし、こちらも今回と似ているもので携帯電話でアクセスするためにサイトを携帯用に変換して表示してくれるサービスだったのでした。

また、このサイトを「3s3s」経由でアクセスしてみてソースコードを確認したのですが気になる表記がありました。下図の「blacklist.3s3s.org」の部分です。3s3s02

このアドレスにアクセスするといくつかのドメイン名とその管理者らしき方のメールアドレスが列挙されていました。試しにblacklistに記載されているドメインを入力してみたところ下図のようなポップアップが表示されました。
3s3s03

おそらく、「3s3s」にコンタクトを取りブラックリストに入れてもらうことでこのように対処してもらうことが可能なのでしょう。しかし、ポップアップにもある通り、OKを押すとすぐに「http://anonymouse.org/」にリダイレクトされました。
3s3s04

この「anonymous.org」も「3s3s」と似たサイトでここを経由して目的のサイトを閲覧するというものです。

だらだらと書いてきましたが簡単にいうと現在の「3s3s」は有害ではないと言えます。
どれくらい有害ではないかというと翻訳サイトで閲覧したいサイトのURLを打ち込むのと同様と考えていただければいいかもしれません。
参考までに下図はエキサイト翻訳のウェブページ翻訳で「http://n.pentest.ninja」を入力した結果です。
excitewebftans

日本に住んでいると検閲を受けてサイトをブロックされたりする機会はかなり少ないのであまりピンとくる方は多くはないのかもしれませんが、そのようなことが行われることが当たり前の国は世界中にあります。「3s3s」はそのような方のために作られたサービスなのかもしれません。
もちろん、普段から模倣サイトには気をつける必要があり、それと疑わしきものについては注意喚起すべきであるということにはボクも賛成ではありますが今回の件は「模倣サイトが作成されており、コンピュータウイルスに感染する恐れがある」といったような注意喚起そのものが不適切な表現であると言えます。とは言うものの「3s3s」側でも元のサイトと見た目に全く同じというわけではなく、元のサイトを表示するにはこちら。といったようなリンクなどをページ上部にでも表示してくれると親切設計で誤解を招きにくいのかもとも思いました。

今回の件で、正しく理解し、正しく伝え、正しく怖がるということの大切さを改めて考える事ができました。

Category: memo | 模倣サイトと呼ばれている「3s3s」について はコメントを受け付けていません
8月 19

ANAの「Webパスワード」導入で思ったこと。

fly_01

全日本空輸(以下、ANA)から「Webパスワード」の導入に関する発表がありました。

これは、今まで数字4桁だったログインパスワード(と呼べる強度かどうかは別にして)から

任意の英文字(大小)と数字で構成する8桁以上16桁以下のパスワード

を設定できるようになるというものです。
実施開始予定は

2014年9月4日(木)午前 5:00(日本時間)より

とのことで

2014年12月3日まで

は案内、移行期間として

2014年12月4日以降

はこのポリシーの「Webパスワード」のみの利用に切り替わる予定だそうです。

設定できるパスワードと認証方法に関してはまだまだ万全というわけではなく

・使用できる文字種に「記号」を使えるようにする。
・設定可能な文字数を長くする。
・二要素(段階)認証を設定可能にする

など個人的には、改善の余地のあるものだと思います。

しかし、元々が数字4桁のみと脆弱極まりないと言えるものだったということもあるにはあるのですが
今回の「Webパスワードの導入」は大きな進歩だとも言えると思います。

ANAは、2014年3月11日、「ANAマイレージクラブ」のWebサイトに不正ログインがあり、
顧客9人のマイレージ・112万マイル(現金に換算すると、最大で65万円分)が「iTunesギフトコード」に不正に交換されていたこと発表しています。

この事実から以下のように考えることもできるのではないでしょうか。

65万円分の補填を行うことと、今まで数字4桁で構築してきたシステムを「Webパスワード」を設定できるように変更するコストを天秤にかけた場合、補填したほうが安い。(金銭的な)費用対効果を考えれば、決して誠意ある対応とは言えませんが、システムの変更を行わず、都度、補填を行うという選択をするという可能性も大いにあったのではないかと思います。

その中で改善点はまだまだあるものの
今回の選択をしたということは評価すべきことなのではないかと思います。

昨今、色々なところでセキュリティ事故が発生しています。
Web改ざん、不正ログイン、情報漏洩、サービス停止などなど。

もちろん、事故が起こるということは何かしらの不備があるからです。
それは、マイナスの評価をされて然るべきことだと思うのですが
その事故に対してどのような対応を取ったのかということは、事故を起こした事と別に評価すべきものではないかと思っています。

不正ログイン事故が発生した場合も可能な限りユーザに情報開示を行ったサービスと
そうではないサービスとでは違った評価がされるべきだと思っています。
前者は、きちんとプラスの評価をユーザもすべきだと思います。
その評価(マイナスだけではなくプラスの評価も)をTwitterなどでつぶやいてみることもいいと思います。地道かもしれませんが、そうした個々人のアクションがサービス提供側に伝わっていききちんと対応すれば、きちんと評価されるんだという空気が広がって良いサイクルが生まれていけばいいなって思います。

人は、誰でも誉められることは悪い気はせず嬉しいものだと思います。
そうすると「これでいいんだ。よかった。もっと頑張ろう」って思えるものだと思うんですよね。

今回のANAの対応を見て、ボクは「よくやってくれた!」と思いました。
今後、更なるレベルの向上も行ってくれることも期待したいと思います。

そして、今回のANAの対応を受けて
他のサービス提供サイトのセキュリティレベルの向上があると嬉しいと思います。

Category: memo | ANAの「Webパスワード」導入で思ったこと。 はコメントを受け付けていません
8月 14

WordPressのPHPのXML処理の不備によりサービス妨害(DoS)攻撃が実行される脆弱性に関する検証レポート

【概要】
WordPressに、リモートよりサービス妨害(DoS)攻撃が可能な脆弱性が発見されました。

この脆弱性は、WordPress内のPHPがXMLを処理する際の処理に不備が存在するため、リモートよりサービス妨害(DoS)攻撃を受ける問題が起こります。
これにより、攻撃者はリモートからサービス妨害(DoS)攻撃を行うことが可能になります。それにより、利用者がWebサービスに接続し難くすることが可能です。
今回、この脆弱性の再現性について検証を行いました。

【影響を受ける可能性があるシステム】
■WordPress
– WordPress 3.5から3.9.2未満のバージョン

【対策案】
WordPress.orgより、この脆弱性を修正するプログラムがリリースされています。
当該脆弱性の修正を含む最新のバージョンを適用していただくことを推奨いたします。
WordPress > 日本語

【参考サイト】
JPCERT コーディネーションセンター Weekly Report
WordPress › 日本語 « WordPress 3.9.2 セキュリティリリース
WordPress >WordPress › WordPress 3.9.2 Security Release

【検証イメージ】
image_140813_01

 

 

 

 
【検証ターゲットシステム】
Windows Server 2012 + XAMPP for Windows 1.8.3 / PHP 5.5.11 + WordPress 3.9.1日本語版

【検証概要】
攻撃者が作成した細工されたリクエストをサーバに送ることで脆弱性を利用した攻撃を行い、対象サービスを遅延させ、結果、通常の利用者からのアクセスを妨害するというものです。
これにより、サービス妨害(DoS)攻撃が可能となります。

【検証結果】
下図は、攻撃後の誘導先のコンピュータ(Windows Server 2012)のタスクマネージャです。黄線で囲まれている部分は、攻撃を実行する前のプロセスの状態です。
bf_attack

 

 

 

 

 
 

赤線で囲まれている部分が、リモートから攻撃者が、サービス妨害(DoS)攻撃をを実行した直後の状態が表示されています。
af_attack01

 

 

 

 

 

 
 

Webサービスの遅延が発生し、ページの参照が待機状態になりました。
af_attack02

※ 今回の検証にはWindows OSを使用していますが、Linuxなどの環境でも同様の現象を再現することが可能です。

 

 

 

 

 

 

 

 

 

reported by y.izumita, nao323, ntsuji

Category: exploit | WordPressのPHPのXML処理の不備によりサービス妨害(DoS)攻撃が実行される脆弱性に関する検証レポート はコメントを受け付けていません
7月 7

OnionShare を使ってみました。

先日、参加した「江戸前セキュリティ勉強会(2014/07)」のLTで@kitagawa_takuji さん が「OnionShare」というツールの紹介をしていましたのでボクも使ってみました。

「OnionShare」は、Tor Hidden Serviceを使ってファイルを共有する為のツールで、Torネットワークに接続した状態で共有したファイルを指定すると一時的なURLが生成されそのファイルが共有状態になります。そのURLを受け取る側に安全な方法で伝え、受け取る側はTorネットワークに接続した状態でブラウザを使ってそのURLを指定しダウンロードするという単純な仕組みです。

公式サイトはこちら
現在の対応OSは以下の通りです。
OS_version

/
【OnionShare起動】
予めTorネットワークに接続しておく必要があります。
(一番簡単な方法はTor Browser Bundleをダウンロードして、Tor Browserを起動することです。)
接続していない状態で「OnionShare」を起動すると以下のようなエラーメッセージが表示されます。
01

Torネットワークに接続した状態で起動すると下図のように共有するファイルの選択画面が表示されます。
02
ここでファイルを選択をしたら共有完了でURLが生成されます。

【共有とダウンロード】
下図が共有が行われている状態です。
03

ここで「Copy URL」ボタンをクリックするとクリップボードに生成されたURLがコピーされます。
また、「Close automatically」にチェックを入れていると接続してきた最初のユーザのみがダウンロードできるようです。
チェックを外している状態ですと自動でクローズされず、任意にクローズされるまではダウンロードし続けられるようでした。

コピーしたURLをTor Browserを利用して接続を行なうと下図のような画面が表示されます。
04
ここでファイル名のボタンをクリックすることでダウンロードが開始されます。

アクセスがあった際の「OnionShare」の画面はこちらです。
05
先程の画面から「Download page loaded」という通知が追加されていますね。
「Close automatically」にチェックが入っている状態だと、このあとウインドウが閉じられることになります。
そして、再度ブラウザでアクセスしても接続できないようになります。(終了しているので当然ですが)
06

また、チェックが入っていない場合は下図のように開きっぱなしとなり開いている以上、URLを知る人はダウンロード可能となります。
07

Torネットワークを使っているので速度的には若干のストレスはあるかもしれませんがルータの設定などを変更することなく手軽にファイルを共有できますし、ダウンロードされたことを知ることもできるので「◯◯に共有したのでダウンロードしたら消すから教えてね。」的なやり取りも必要ないためちょっとしたファイルを共有する際には便利かもしれませんね。肝としてはURLの受け渡しを安全に行う必要があるということでしょうか。

以上です。

Category: tool | OnionShare を使ってみました。 はコメントを受け付けていません
6月 27

SMBCダイレクト をかたるフィッシングサイトにひっかかってみました。



ということで今回も引っかかってみました。
まずは本物とニセモノ比較。

【本物】
00_trust_smbc

【ニセモノ】
00_smbc

いつものように見た目全く同じですね。
ただ、ソフトウェアキーボードを使おうとすると違いが見られました。

【本物】
sk_trust

【ニセモノ】
sk_fake

それでは適当な情報を入力して先に進んでみます。
ログインボタンから進むと乱数表の入力を求められます。
綺麗に横一列すべてですね。
02_smbc
この後、他の部分もすべて入力が求められました。
以前に書いた三菱東京UFJ銀行のフィッシングサイトと同じパターンですね。

ちなみにログインのところやこの乱数表入力のところどこかで入力せずに進もうとするとこんなページが表示されます。
nop

そして、乱数表の入力ラッシュが完了すると最後にここにリダイレクトされました。
lastpage
インターネットバンキングのトップページじゃなくてなぜか生命保険のトップページに… どうして?

今回のものはメールで以下のようはHTMLで来るそうです。
phi_ref
「本人認証サービス」と書かれたところをクリックすると一旦、HTMLファイルを経由して
当該フィッシングサイトにリダイレクトされるようになっていました。
その一旦経由するファイルのソースコードを見てみると

<meta http-equiv=”Content-Language” content=”zh-CN”>
<meta HTTP-EQUIV=”Content-Type” CONTENT=”text/html; charset=gb2312″>

とありました。
「gb2312」は、簡体中国語の文字コードセットですね。

ちなみに今回のサイトなのですがホストアドレスをIPアドレスに正引きしたものを再度逆引きしてみると日本のプロバイダのものになっていました。
踏み台にされていたりするのでしょうか。
dig

ちなみにこのサーバ上には「三菱東京UFJ銀行」「そな銀行」…じゃなくて、「りそな銀行」のフィッシングサイトもホストされていました。

以上です。

Category: phishing | SMBCダイレクト をかたるフィッシングサイトにひっかかってみました。 はコメントを受け付けていません
6月 26

ウェブマネー をかたるフィッシングサイトにひっかかってみました。

ということで今回もひっかかってみました。

またまた、今回も自分のアカウントを持っていないサービスです。
というわけで早速、フィッシングサイトと本物のページを見比べてみましょう。

【本物】
trustpage_webmoney

【ニセモノ】
00_webmoney

ボクのアクセスしたタイミングのせいなのかもしれませんが【ニセモノ】はソフトウェアキーボードの画像がリンク切れを起こしていますね。
ちなみにリンク切れしている画像のURLにアクセスしてみた結果は下図です。
02_webmoney
IISのデフォルトエラーページですね。
このソフトウェアキーボードの画像が置かれていたと思われるサーバは「smarteraASP.NET」というホスティングサービスの会社でした。
ここだけ対処されたということなのでしょうか?

さて、ウォレットIDとパスワード、セキュアパスワードにあり得ない文字列を入力してログインボタンを押してみました。
01_webmoney
すると、【本物】のウェブマネーのトップページにリダイレクトされました。
以前にひっかかってみた銀行のフィッシングサイトとは違ってとてもシンプルなものですね。
意外とあり得ないほど乱数表を入力させるよりはこれくらいシンプルなほうが引っかかり易いとも考えられますね。
また、情報を盗んでからリダイレクトするなら見た目が同じの【本物】のログインページにしたほうが
ユーザは「入力ミスしたのかな?」と騙せるような気もしなくもないのですが
このフィッシングサイトは、どうして、わざわざ【本物】のトップページにリダイレクトしているのでしょうね。

ということで以下は今回のフィッシングに利用されたメールの本文です。

お客様
株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願い
します。

https://member.webmoney.ne.jp/

もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ウェブマネー ウォレット

■ウェブマネー ウォレットに関するお問い合わせ
サポートセンター(平日 10:00〜18:00 土日祝祭日を除く)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

(記載されているリンクは本物のURLですがクリックするとフィッシングサイトにアクセスするように細工されています。)

ここで気になったのは「株式会社营团社サービスシステム」という社名です。
この名前で検索すると過去に「スクウェア・エニックス」や「ハンゲーム」のフィッシングメールが送信されていたようです。
ちなみに「营团社」というのは日本語表記にすると「営団社」となります。
そして、エニックスの母体となった社名は「株式会社営団社募集サービスセンター」だそうです。

ボクも調べて初めて
感知しました!

以上です。

【2014/06/26追記 その1】
上記、フィッシングサイトを調べていたら同じサーバ上に
別のフィッシングサイトの設置を見つけてしまいました。
こちらはハンゲームのサイトです。

【本物】
00_hangame

【ニセモノ】
01_hangame
比べるまでもなくそっくりであります。
サイトの挙動も上記の「ウェブマネー」のものと同じでした。
また、faviconを比べてみたのですが「ウェブマネー」のときと同じfaviconですね。

【ウェブマネーのニセモノと本物のサイトのfavicon】
favi01

【ハンゲームのニセモノと本物のサイトのfavicon】
favi02

【2014/06/26追記 その2】
@NaomiSuzuki_さんに別の人(組織?)が運営していると思われる「ウェブマネー」のフィッシングサイトを教えていただきました。
こちらは先に紹介したものと違いソフトウェアキーボードの画像のリンク切れはありませんでした。
webmoney_comp

さらに、faviconもオリジナルサイトと同じものでした。
favicon03

また、認証情報を入力し、ログインボタンを押した時の挙動も前のものと異なっており
オリジナルサイトのトップページにリダイレクトするのではなく、オリジナルサイトのログイン画面にリダイレクトするようになっていました。
(つまり、見た目には同じページが再度表示されるということです。)

Category: phishing | ウェブマネー をかたるフィッシングサイトにひっかかってみました。 はコメントを受け付けていません
6月 16

りそな銀行 マイゲート をかたるフィッシングサイトにひっかかってみました。

りそな銀行のマイゲートをかたるフィッシングメール、サイトが存在しているようです。
今回も前回同様ひっかかってみました。
ちなみに今回もボクがアカウントを持っていないサービスですので、アカウントをお持ちの方は本物との挙動と比較しながら読み進めていただければと思います。(こういうときのためにありとあらゆるサービスのアカウントを作ったほうがいい気がしてきています。)
何かコメントなどございましたらTwitterなどでこっそり教えていただければ嬉しいです。

まずはログイン画面。
01
ソフトウェアキーボードがアクセス時からオンになっているところは本物のサイトと同じで丸々コピーしてきたんだろうなという感じですね。

適当な情報を入力して先に進みます。
いきなり「秘密の質問にお答えください。」だそうです。
本物はどうなのか分かりませんがこういうのって質問内容「母の旧姓は?」的なものがあるものだと思うのですが…
02
ボクの好きな「にんじゃ」を入力して先に進みます。

またログインパスワードの入力を促されました。
03

ちなみに「ソフトウェアキーボードについて」などのヘルプ系のリンクをクリックすると
本物のサイトのものをポップアップで表示するようです。
help

また、「ログインパスワードをお忘れの方はこちら」をクリックすると
中国語のエラーページが表示されました。
remaind

この謎のログインパスワードにも適当な情報を入力して先に進みます。
すると以下のエラーページが一瞬表示されました。
04

上記エラーページが一瞬表示された後、以下ようにの本物のサイトにリダイレクトされました。
05

あと今回はこのサイトに誘導する為のメールの件名と本文をとある方から情報を頂きましたので掲載しておきます。

件名: 『「そな銀行」本人認証サービス』
こんにちは!

2014年「そな銀行」のシステムが安全性の更新がされたため、お客様はアカウントが凍結?休眠されないように、直ちにアカウントをご認証ください。

以下のページより登録を続けてください。


そな銀行!
こんにちは!

以上です。

Category: phishing | りそな銀行 マイゲート をかたるフィッシングサイトにひっかかってみました。 はコメントを受け付けていません
6月 10

三菱東京UFJ銀行をかたるフィッシングサイトにひっかかってみました。

三菱東京UFJ銀行をかたるフィッシングサイトへ誘導する詐欺メールが出回っているらしくいくつかのメディアで取り上げられていました。

「偽画面にご注意!」、三菱東京UFJ銀行をかたるフィッシング
三菱東京UFJ銀行をかたるフィッシング詐欺に注意
三菱東京UFJ銀行をかたるフィッシング(2014/06/10)

にしても、「偽画面にご注意!」と注意してくれる親切なフィッシングサイトですね。

最近の銀行のサイトは注意喚起として見た目は悪いですが、逆にこのゴテゴテ感から銀行側の努力の片鱗が伝わってくるなと思って見ていました。
でも、騙されるなよーって言っている詐欺師に騙されるということが起こっているわけです。
こうした記事や注意喚起をしているのを見てていつも思うのですが、ひっかかった後どうしたらいいのか。ひっかかったと気付くにはどうしたらいいのかはあまりないんですよね。
ボクは勉強会やセミナーなどでフィッシングサイトを作成してどのように情報が盗まれるのかというデモをすることがあります。
お話を聴いていただいている方にはその挙動を見てもらっています。それは本物と偽物とでは挙動が異なるということから引っかかったことに気付くきっかけとなればと思っているからです。

例えば、フィッシングサイトの中には偽ページで情報を入力し、送信した後、本物のサイトにリダイレクトするようなものがあります。
これは入力ミスったかな?と思いながらもう一度入力するとログインできることでターゲットの注意を逸らしたり、そのまま使えないと不審に思われ発覚が早まるのでそういったことを防ごうという攻撃側の考えからなのだと思います。
つまり、本物のサイトだとエラーメッセージが表示されるはずのものが、表示されないわけです。
(もちろん、エラーページも偽装することが可能なのでこれは1つのケースだと思ってください。)
そういったものがあるというのであれば、入力した情報が間違っていた場合、画面がリフレッシュされるようなことはなく、エラーメッセージが出ます。みたいな注意喚起があってもいいのではないかと思いました。

注意してください。だけでは
「風邪引くな!」としか言ってないのと同じですよね。
「風邪を引いたとき」のことを考えて置き薬を用意しておきましょう。かかりつけのお医者さんを予め見つけておきましょう。的な注意喚起があってもいいかなとふと思いました。
スパムもそうですがこの手のものは引っかかる人がいるからなくなりません。
なので、引っかかった人のための情報ももっと出して欲しいものです。

ということで今回のフィッシングサイトがどのような挙動をするのかということを知って頂くために稼働中のフィッシングサイトを探してどういう挙動をするのかということを確認してみました。ただ、残念なことにボクは東京三菱UFJ銀行のアカウントを持っていないので正しいサイトの厳密な挙動を知りません。ですので、申し訳ないのですがアカウントをお持ちの方は正しいものと見比べてみていただけると嬉しいです。

【アクセス】

まずはフィッシングサイトにアクセス。
00.ufj
見た目の部分は丸ごとコピーしているのでしょう。注意喚起もしてくれています。
ちなみにオリジナル(本物)はコチラです。

【入力】

適当な情報を入力してみた結果、以下のページに遷移しました。
01.ufj
乱数表の一番上列の10桁すべてを入力するように言われました。
ここでももちろん適当な数字を入れてみます。そして、送信。

02.ufj

次は2列目の10桁すべてを入力するようにとのこと。この後10列目までありました。
面倒くさかったです。

04.ufj

これで全部入力させようという手口なんでしょうね。
ということで10列分すべて入力しました。さてこれで終わり。と思っていたらまだ画面がありました。
05.ufj
ダイレクトパスワードと呼ばれる4桁の数字を入力してくださいとのこと。
ダイレクトパスワードが何かというは本物の三菱東京UFJ銀行のサイトにありました。

三菱東京UFJダイレクトをお申し込みの際にご指定いただいた4桁の数字です。
なお、ご契約番号が8桁のお客さまの場合、「固定暗証番号(テレフォン/モバイル)」としてお使いいただいていた4桁の数字です。

根こそぎ必要な情報を入力させようとするわけですね。
ここでも適当な数字を入力して送信。
すると下図のページに遷移しました。

06.ufj
見て頂ければお分かりかと思いますが
「本物」のサイトの「ログインでお困りのお客様へ」というページに遷移しました。

冒頭でも書いた通りボクはアカウントを持っていませんので厳密な本物との挙動の違いは分かりませんが、本物と明確に異なる部分があると思います。そこまで情報を入力させないだろう。とか、最後に「ログインでお困りのお客様へ」には遷移させないだろう。などなど。
引っかからないための注意喚起だけではなく、途中で気付けるかもしれない。最後にでも引っかかったかもしれないといったことに気付くチャンスを与える注意喚起って必要だなぁと思った次第です。

このエントリがどこかの誰かのお役に立てたらなら幸いです。

Category: phishing | 三菱東京UFJ銀行をかたるフィッシングサイトにひっかかってみました。 はコメントを受け付けていません