テック・スタディ

IoTとかセキュリティとかの備忘録

フィッシングメールが届いたので、できる範囲で調査してみた

ご無沙汰しております。


普段メインで使っているメールアドレス宛に

フィッシングメール(appleのメールを装った偽物)が届いたので、

私にできる範囲で調査してみました。


最近のフィッシングメールは非常に巧妙化してきている


f:id:h3xm9s9:20180224161726p:plain


この写真のメール。

メールボックスを漁っていると、迷惑メールフォルダにありました。


まぁ、普通に考えれば開かないのですが、

人によっては?結構迷惑メールフォルダのメールも確認しちゃうんじゃないかなと。


そう考えると、しっかり調査した方がいいと思い立ち

動き始めた次第です。


メールの文章をしっかり読めば、全く意味が通じない文章であることを理解できます。

落ち着いてゆっくりメールの文章を読みましょう


間違ってリンクを開いちゃった人は。。。

え?何?

IDの検証が必要?

じゃあ確認しなきゃ!

と早とちりした人はフィッシングサイトに飛ばされます


今回のフィッシングの一連の流れをトレースしながら説明します。


Step1 1次アクセス先でリダイレクト

メール内のリンクをクリックすることで、1次アクセス先にてリダイレクトが発生します。

この部分の調査には以下のツールを使いました。

curl


f:id:h3xm9s9:20180224172242p:plain

写真のように、htmlコンテンツ内にmetaタグでhttp-equivが指定されていました。

phpでLocationをさせるのではなく、こちらを使ってくるところも巧妙か。。。。


Step2 リダイレクト先でさらにLocationが指定される

f:id:h3xm9s9:20180224174819p:plain

リダイレクト先でさらにLocationが指定されました。

これによりフィッシングサイト内でのセッションID?を付与されたようです。


Step3 発行されたセッションIDを用いてaguse経由のアクセス試行

f:id:h3xm9s9:20180224173154p:plain


Webサイトが改ざんされた可能性がある場合に、

世間ではよく使われると(個人的に)思っているサービスがあります。

aguse www.aguse.jp


このサービスを利用すれば安全?にサイトへのアクセスが可能です。

今回はどのようなページが表示されるかを確認するためだけに利用します。


Step4 aguseでサイトのスクリーンショットを確認

f:id:h3xm9s9:20180224173639p:plain


めちゃくちゃ似ている!

最初の感想はそれでした。


こっちが本物です↓

f:id:h3xm9s9:20180224173958p:plain


かなり似ているので、普段から使っている人でも騙される可能性が高いです。

私もこれはすぐに気づけなかったです(不覚)


Step5 ログイン画面のパスワード入力欄で気付けるか!?

f:id:h3xm9s9:20180224174945p:plain

appleなどのしっかりした企業がログイン画面をこのように放置することはないはずなので、

個人的には一番気づけそうなポイントだと思います。


Step6 クレジットカード情報を入力する画面に移動

f:id:h3xm9s9:20180224175625p:plain

先ほどのログイン画面で実質認証なしの「サインイン」ボタンをクリックすると、

クレジットカード情報の入力画面に遷移します。


クレジットカード情報を入力した先の動作も知りたいので、

私は世に流通しているテストデータにて検証しました。


Step7 クレジットカード会社の認証画面に似せたページへ遷移

検証はVISAのテストデータを利用しました。

f:id:h3xm9s9:20180224180204p:plain

あ、VISAの認証画面みたいに見える。。。

これも騙されそうな部分ですね。

実際のところ、この画面が表示された時も同一ドメインでしたので、

気づくポイントになるはず。。。


Step8 クレジットカード会社認証画面に似せたページを越えると?

このステップを越えると、Step6の画面とほぼ同じ画面が表示されます。

ただし1点だけ違う部分が。。。

f:id:h3xm9s9:20180224180627p:plain


赤枠で囲んだ部分が違います。

" Sorry, We don't accept your recent credit card , You need to add another credit card to confirm your account. "

申し訳ない。 最近のクレカは受け付けてないんだ。 アカウントを確認するために、別のクレカを登録する必要があるよ。


こんな感じでしょうか。

テストデータで試したので仕方ないのでしょうが、

これ以上の調査は断念しました。


このページでも技術者的視点から気づけそうなポイントが。。。

この「動的に表示されてるっぽいエラーメッセージ」ですが、

実は画像ファイルがそのまま表示されているだけでした。


この点から推測できるのは、「どのような入力値が送信されても、この画像を表示させる」という仕様です。


攻撃者のメリットは?

今回のフィッシングサイトもApple IDとクレジットカード情報を奪う目的があるので、

「個人情報の奪取・紐付け」等がメリットとして考えられます。


また、エラー画面を幾度も表示させるので、

利用者からすれば「あれ、別のクレカだっけなぁ?」

他のカード情報を入力する可能性も考えられます。


こうなると、攻撃者の思う壺ですね。

少なくとも使えるであろうクレジットカード情報が

セキュリティコードとともに手に入るのですから。。。


まとめ


いかがでしたでしょうか?

今回は迷惑メールフォルダに振り分けられた

フィッシングメールを敢えて追跡してみました。


セキュリティ業界ではよく?利用される、

孫子の兵法「彼を知り、己を知れば百戦殆うからず」

この一件で、我々も常に意識して敵情を手に入れる必要があるのだと感じました。


フィッシング詐欺の実態を少しだけ身近に感じていただき、

フィッシング詐欺の被害に遭わないための自衛策として

当記事が少しでも役に立てば幸いです。