『詐欺メール』『【SoftBank】お知らせをご覧いただ き、ご確認ください』と、来た件

★フィッシング詐欺解体新書★

私、auですけど…

久しぶりにショートメール系の話題です。
週末のまったりとした朝、このようなSMSが届きました。

最初に書いておきますが、私、auです。(笑)
もうそれでピンと来ますよね？！
そうです、このメールは典型的なフィッシング詐欺のショートメールです。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『【SoftBank】お知らせをご覧いただき、ご確認ください』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
直接お知らせの内容が書かれていないのが、ミソです。
まずリンクを押させようという考えですね！

差出人は
『+81 90 1304 ****』
ショートメールなので差出人欄は携帯電話番号になっています。
まあ恐らく適当な番号でしょうね。

姑息にも無料ドメインを犯罪に利用

では引き続き本文。

(直リンク防止のためURLの一部の文字を変更しています)

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは、本文内に直接書かれていますが、使われているドメインが”t.co”です。
これは『X』（旧Twitter) が提供する短縮 URL のドメインなので偽装です。
実際のリンク先URLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

ちょっと、ちょっと、安全って…そりゃヤバいでしょ！
『情報不足』と記載があるので、まだ新しいサイトなのでしょうか？
早急に評価を変更していただけるように私から変更の申請を行っておきます。

このURLで使われているドメインは、サブドメインを含め”cfi1xq.duckdns.org”
トレンドマイクロの『サイトセーフティーセンター』での危険度評価の中に『ダイナミックDNS』と
記載されています。
このドメイン”duckdns.org”について調べると『Duck DNS』という企業が無料で貸し出している
『ダイナミックDNS』であることが分かりました。
この詐欺師、姑息にも無料でドメインを取得し、それを悪事に利用しているのです！

このドメインを割当てているIPアドレスの情報を取得してみます。

このドメインを割当てているIPアドレスは”194.126.215.10”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

利用されているホスティングサービスは、香港に拠点を置く『KIDC Limited』

地図は、IPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
今度ピンが立てられたのも香港の『九龍城区』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

何故かVプリカでしか支払えない

トレンドマイクロの『サイトセーフティーセンター』での危険度評価からすると、リンク先の
詐欺サイトは、どこからもブロックされることなく無防備な状態で放置されていると思われます。
そんなサイトに、調査を目的で安全な方法を利用して訪れてみることにします。

あっさりと開いたのは『利用料金の未払い金があります』と書かれた警告のようなページ。

架空の未払いをネタにした詐欺のようです。

『支払い状況を確認する』と書かれたボタンを押してみます。

今度は支払方法の選択画面です。
何故か電子マネー(vプリカ)しか選択できないようになっています。
ちなみに『Vプリカ』は、インターネット専用のVisaプリペイドカードで、コンビニなどでも簡単に
利用できます。

先へ進んでみると次はこのような画面が開きました。

しっかりむしり取れるようVプリカの利用法が丁寧に書かれていますね。
ここから先は本当に支払いが発生してしまうのでこの辺りで追跡は終了したいと思います。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;