9月 5

Club NTT-Westをかたるフィッシングにひっかかってみました。



久しぶりにひっかかってみました。

ということで本物と偽物の比較。

【本物】
true

【偽物】
01

相変わらず見た目そっくりですね。
入力のエラーチェックまで同じ挙動。
02

スクロールした際にでてくるメッセージが出てくるというのも同じ。
part

ただ、本物と偽物ではWebサーバの構成が違うようでブラウザのプラグインの反応が以下のように異なりました。

【本物】
t

【偽物】
f

偽物はIISで以下がNot Foundの画面です。
error

実際に情報を適当なものを入力してページ下部にある「次へ進む」を押したところ以下のページにリダイレクトされました。
03

入力させて、何事もなかったのように別のページにリダイレクトするというのは割と常套手段なのですが今回が多くのフィッシングサイトと違うところはIDとパスワードを入力させて盗むタイプのものではないということでしょうか。
今回、盗もうとしている情報は

・ご契約回線名義
・設置場所の郵便番号
・回線ID

の3つです。
気になったので「club NTT-West」の会員ログインのページを確認したところ下図のように会員IDとパスワードに加えて「お客様ID」もしくは「回線ID」が必要だということが分かりました。
したがって、攻撃者が欲しい情報は「回線ID」なのではないかと思います。

もしかすると、攻撃者はすでに何かしらの形で攻撃を行うためのリスト(IDとパスワードがセットのもの)は持っているものの3つめに必要な「お客様ID」もしくは「回線ID」を持っていないため、このようなフィッシングサイトを設置したのかもしれませんね。

以上です。

【同日追記】
Twitterでフィッシングサイトにログインページも存在するということを教えていただきました。
auth


Category: phishing | Club NTT-Westをかたるフィッシングにひっかかってみました。 はコメントを受け付けていません
6月 27

SMBCダイレクト をかたるフィッシングサイトにひっかかってみました。



ということで今回も引っかかってみました。
まずは本物とニセモノ比較。

【本物】
00_trust_smbc

【ニセモノ】
00_smbc

いつものように見た目全く同じですね。
ただ、ソフトウェアキーボードを使おうとすると違いが見られました。

【本物】
sk_trust

【ニセモノ】
sk_fake

それでは適当な情報を入力して先に進んでみます。
ログインボタンから進むと乱数表の入力を求められます。
綺麗に横一列すべてですね。
02_smbc
この後、他の部分もすべて入力が求められました。
以前に書いた三菱東京UFJ銀行のフィッシングサイトと同じパターンですね。

ちなみにログインのところやこの乱数表入力のところどこかで入力せずに進もうとするとこんなページが表示されます。
nop

そして、乱数表の入力ラッシュが完了すると最後にここにリダイレクトされました。
lastpage
インターネットバンキングのトップページじゃなくてなぜか生命保険のトップページに… どうして?

今回のものはメールで以下のようはHTMLで来るそうです。
phi_ref
「本人認証サービス」と書かれたところをクリックすると一旦、HTMLファイルを経由して
当該フィッシングサイトにリダイレクトされるようになっていました。
その一旦経由するファイルのソースコードを見てみると

<meta http-equiv=”Content-Language” content=”zh-CN”>
<meta HTTP-EQUIV=”Content-Type” CONTENT=”text/html; charset=gb2312″>

とありました。
「gb2312」は、簡体中国語の文字コードセットですね。

ちなみに今回のサイトなのですがホストアドレスをIPアドレスに正引きしたものを再度逆引きしてみると日本のプロバイダのものになっていました。
踏み台にされていたりするのでしょうか。
dig

ちなみにこのサーバ上には「三菱東京UFJ銀行」「そな銀行」…じゃなくて、「りそな銀行」のフィッシングサイトもホストされていました。

以上です。

Category: phishing | SMBCダイレクト をかたるフィッシングサイトにひっかかってみました。 はコメントを受け付けていません
6月 26

ウェブマネー をかたるフィッシングサイトにひっかかってみました。

ということで今回もひっかかってみました。

またまた、今回も自分のアカウントを持っていないサービスです。
というわけで早速、フィッシングサイトと本物のページを見比べてみましょう。

【本物】
trustpage_webmoney

【ニセモノ】
00_webmoney

ボクのアクセスしたタイミングのせいなのかもしれませんが【ニセモノ】はソフトウェアキーボードの画像がリンク切れを起こしていますね。
ちなみにリンク切れしている画像のURLにアクセスしてみた結果は下図です。
02_webmoney
IISのデフォルトエラーページですね。
このソフトウェアキーボードの画像が置かれていたと思われるサーバは「smarteraASP.NET」というホスティングサービスの会社でした。
ここだけ対処されたということなのでしょうか?

さて、ウォレットIDとパスワード、セキュアパスワードにあり得ない文字列を入力してログインボタンを押してみました。
01_webmoney
すると、【本物】のウェブマネーのトップページにリダイレクトされました。
以前にひっかかってみた銀行のフィッシングサイトとは違ってとてもシンプルなものですね。
意外とあり得ないほど乱数表を入力させるよりはこれくらいシンプルなほうが引っかかり易いとも考えられますね。
また、情報を盗んでからリダイレクトするなら見た目が同じの【本物】のログインページにしたほうが
ユーザは「入力ミスしたのかな?」と騙せるような気もしなくもないのですが
このフィッシングサイトは、どうして、わざわざ【本物】のトップページにリダイレクトしているのでしょうね。

ということで以下は今回のフィッシングに利用されたメールの本文です。

お客様
株式会社营团社サービスシステムをご利用いただき、ありがとうございます。
システムはお客様のアカウントが異常にログインされたことを感知しました。
下記のログイン時間を照らし合せてご本人様によるログインであるかどうかご確認お願い
します。

https://member.webmoney.ne.jp/

もし、ご本人によるログインでしたら、お手数ですが本メールの破棄をお願いいたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ウェブマネー ウォレット

■ウェブマネー ウォレットに関するお問い合わせ
サポートセンター(平日 10:00〜18:00 土日祝祭日を除く)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

(記載されているリンクは本物のURLですがクリックするとフィッシングサイトにアクセスするように細工されています。)

ここで気になったのは「株式会社营团社サービスシステム」という社名です。
この名前で検索すると過去に「スクウェア・エニックス」や「ハンゲーム」のフィッシングメールが送信されていたようです。
ちなみに「营团社」というのは日本語表記にすると「営団社」となります。
そして、エニックスの母体となった社名は「株式会社営団社募集サービスセンター」だそうです。

ボクも調べて初めて
感知しました!

以上です。

【2014/06/26追記 その1】
上記、フィッシングサイトを調べていたら同じサーバ上に
別のフィッシングサイトの設置を見つけてしまいました。
こちらはハンゲームのサイトです。

【本物】
00_hangame

【ニセモノ】
01_hangame
比べるまでもなくそっくりであります。
サイトの挙動も上記の「ウェブマネー」のものと同じでした。
また、faviconを比べてみたのですが「ウェブマネー」のときと同じfaviconですね。

【ウェブマネーのニセモノと本物のサイトのfavicon】
favi01

【ハンゲームのニセモノと本物のサイトのfavicon】
favi02

【2014/06/26追記 その2】
@NaomiSuzuki_さんに別の人(組織?)が運営していると思われる「ウェブマネー」のフィッシングサイトを教えていただきました。
こちらは先に紹介したものと違いソフトウェアキーボードの画像のリンク切れはありませんでした。
webmoney_comp

さらに、faviconもオリジナルサイトと同じものでした。
favicon03

また、認証情報を入力し、ログインボタンを押した時の挙動も前のものと異なっており
オリジナルサイトのトップページにリダイレクトするのではなく、オリジナルサイトのログイン画面にリダイレクトするようになっていました。
(つまり、見た目には同じページが再度表示されるということです。)

Category: phishing | ウェブマネー をかたるフィッシングサイトにひっかかってみました。 はコメントを受け付けていません
6月 16

りそな銀行 マイゲート をかたるフィッシングサイトにひっかかってみました。

りそな銀行のマイゲートをかたるフィッシングメール、サイトが存在しているようです。
今回も前回同様ひっかかってみました。
ちなみに今回もボクがアカウントを持っていないサービスですので、アカウントをお持ちの方は本物との挙動と比較しながら読み進めていただければと思います。(こういうときのためにありとあらゆるサービスのアカウントを作ったほうがいい気がしてきています。)
何かコメントなどございましたらTwitterなどでこっそり教えていただければ嬉しいです。

まずはログイン画面。
01
ソフトウェアキーボードがアクセス時からオンになっているところは本物のサイトと同じで丸々コピーしてきたんだろうなという感じですね。

適当な情報を入力して先に進みます。
いきなり「秘密の質問にお答えください。」だそうです。
本物はどうなのか分かりませんがこういうのって質問内容「母の旧姓は?」的なものがあるものだと思うのですが…
02
ボクの好きな「にんじゃ」を入力して先に進みます。

またログインパスワードの入力を促されました。
03

ちなみに「ソフトウェアキーボードについて」などのヘルプ系のリンクをクリックすると
本物のサイトのものをポップアップで表示するようです。
help

また、「ログインパスワードをお忘れの方はこちら」をクリックすると
中国語のエラーページが表示されました。
remaind

この謎のログインパスワードにも適当な情報を入力して先に進みます。
すると以下のエラーページが一瞬表示されました。
04

上記エラーページが一瞬表示された後、以下ようにの本物のサイトにリダイレクトされました。
05

あと今回はこのサイトに誘導する為のメールの件名と本文をとある方から情報を頂きましたので掲載しておきます。

件名: 『「そな銀行」本人認証サービス』
こんにちは!

2014年「そな銀行」のシステムが安全性の更新がされたため、お客様はアカウントが凍結?休眠されないように、直ちにアカウントをご認証ください。

以下のページより登録を続けてください。


そな銀行!
こんにちは!

以上です。

Category: phishing | りそな銀行 マイゲート をかたるフィッシングサイトにひっかかってみました。 はコメントを受け付けていません
6月 10

三菱東京UFJ銀行をかたるフィッシングサイトにひっかかってみました。

三菱東京UFJ銀行をかたるフィッシングサイトへ誘導する詐欺メールが出回っているらしくいくつかのメディアで取り上げられていました。

「偽画面にご注意!」、三菱東京UFJ銀行をかたるフィッシング
三菱東京UFJ銀行をかたるフィッシング詐欺に注意
三菱東京UFJ銀行をかたるフィッシング(2014/06/10)

にしても、「偽画面にご注意!」と注意してくれる親切なフィッシングサイトですね。

最近の銀行のサイトは注意喚起として見た目は悪いですが、逆にこのゴテゴテ感から銀行側の努力の片鱗が伝わってくるなと思って見ていました。
でも、騙されるなよーって言っている詐欺師に騙されるということが起こっているわけです。
こうした記事や注意喚起をしているのを見てていつも思うのですが、ひっかかった後どうしたらいいのか。ひっかかったと気付くにはどうしたらいいのかはあまりないんですよね。
ボクは勉強会やセミナーなどでフィッシングサイトを作成してどのように情報が盗まれるのかというデモをすることがあります。
お話を聴いていただいている方にはその挙動を見てもらっています。それは本物と偽物とでは挙動が異なるということから引っかかったことに気付くきっかけとなればと思っているからです。

例えば、フィッシングサイトの中には偽ページで情報を入力し、送信した後、本物のサイトにリダイレクトするようなものがあります。
これは入力ミスったかな?と思いながらもう一度入力するとログインできることでターゲットの注意を逸らしたり、そのまま使えないと不審に思われ発覚が早まるのでそういったことを防ごうという攻撃側の考えからなのだと思います。
つまり、本物のサイトだとエラーメッセージが表示されるはずのものが、表示されないわけです。
(もちろん、エラーページも偽装することが可能なのでこれは1つのケースだと思ってください。)
そういったものがあるというのであれば、入力した情報が間違っていた場合、画面がリフレッシュされるようなことはなく、エラーメッセージが出ます。みたいな注意喚起があってもいいのではないかと思いました。

注意してください。だけでは
「風邪引くな!」としか言ってないのと同じですよね。
「風邪を引いたとき」のことを考えて置き薬を用意しておきましょう。かかりつけのお医者さんを予め見つけておきましょう。的な注意喚起があってもいいかなとふと思いました。
スパムもそうですがこの手のものは引っかかる人がいるからなくなりません。
なので、引っかかった人のための情報ももっと出して欲しいものです。

ということで今回のフィッシングサイトがどのような挙動をするのかということを知って頂くために稼働中のフィッシングサイトを探してどういう挙動をするのかということを確認してみました。ただ、残念なことにボクは東京三菱UFJ銀行のアカウントを持っていないので正しいサイトの厳密な挙動を知りません。ですので、申し訳ないのですがアカウントをお持ちの方は正しいものと見比べてみていただけると嬉しいです。

【アクセス】

まずはフィッシングサイトにアクセス。
00.ufj
見た目の部分は丸ごとコピーしているのでしょう。注意喚起もしてくれています。
ちなみにオリジナル(本物)はコチラです。

【入力】

適当な情報を入力してみた結果、以下のページに遷移しました。
01.ufj
乱数表の一番上列の10桁すべてを入力するように言われました。
ここでももちろん適当な数字を入れてみます。そして、送信。

02.ufj

次は2列目の10桁すべてを入力するようにとのこと。この後10列目までありました。
面倒くさかったです。

04.ufj

これで全部入力させようという手口なんでしょうね。
ということで10列分すべて入力しました。さてこれで終わり。と思っていたらまだ画面がありました。
05.ufj
ダイレクトパスワードと呼ばれる4桁の数字を入力してくださいとのこと。
ダイレクトパスワードが何かというは本物の三菱東京UFJ銀行のサイトにありました。

三菱東京UFJダイレクトをお申し込みの際にご指定いただいた4桁の数字です。
なお、ご契約番号が8桁のお客さまの場合、「固定暗証番号(テレフォン/モバイル)」としてお使いいただいていた4桁の数字です。

根こそぎ必要な情報を入力させようとするわけですね。
ここでも適当な数字を入力して送信。
すると下図のページに遷移しました。

06.ufj
見て頂ければお分かりかと思いますが
「本物」のサイトの「ログインでお困りのお客様へ」というページに遷移しました。

冒頭でも書いた通りボクはアカウントを持っていませんので厳密な本物との挙動の違いは分かりませんが、本物と明確に異なる部分があると思います。そこまで情報を入力させないだろう。とか、最後に「ログインでお困りのお客様へ」には遷移させないだろう。などなど。
引っかからないための注意喚起だけではなく、途中で気付けるかもしれない。最後にでも引っかかったかもしれないといったことに気付くチャンスを与える注意喚起って必要だなぁと思った次第です。

このエントリがどこかの誰かのお役に立てたらなら幸いです。

Category: phishing | 三菱東京UFJ銀行をかたるフィッシングサイトにひっかかってみました。 はコメントを受け付けていません