速さこそ正義

調べたことを書いていきます。

「ameba/UGG」を装った迷惑メールを調査してみた

正月に暇をしていたら迷惑メールが届いた。
時間があったので前回と同じく調査してみた。 www.cyamax.com

www.cyamax.com

今回届いたメール

AmebaからUGGの広告メールという謎の組合せ。 Amebaドメインの信頼を利用してリンクをクリックさせる手口だろうが、逆効果だと思う。 f:id:cyamax:20180102211316p:plain

毎回だけど「貴族の品質」が気になる。

メールヘッダ

f:id:cyamax:20180102214859p:plain

X-Mailer:⁨Foxmail 6, 13, 102, 15 [cn]
Date: Tue, 2 Jan 2018 14:00:28 +0800

Raybanのなりすまし時と同じメーラ(「Foxmail」という中国産のソフト)が使われていた。 タイムゾーンも+0800なので、 今回も中国人の可能性がでてきました。

偽サイト

アクセスする前に

bit.lyの短縮URLにアクセスする前に、URLに「+」を追加してアクセス情報をみてみる。
f:id:cyamax:20180102220006p:plain

私が調査したのがメールが送られてから4時間後であり、
その時点でこのURLにアクセスしたのが1400人弱ということがわかります。 f:id:cyamax:20180102220121p:plain

サイトにアクセス

f:id:cyamax:20180102225920p:plain

アクセスすると、UGGのようなサイトが表示されました。

いくつかページを確認してみましたが、
Raybanのときのような日本語の違和感は感じませんでした。

注文を試みる

試しに注文の機能が使えるのか少し確認してみます。

注文する前にアカウントの登録が必要のようでしたので、
アカウントを登録してみました。

アカウント登録後、名前と住所・クレジットカード情報を入れて購入できるようだったので、 試しに適当なクレジットカードの番号(クレジットカードの広告に使われる無効な番号)を入力したところ、使えないクレジットカードということで登録できませんでした。 f:id:cyamax:20180102231149p:plain

また、住所も適当な文字を入力しても文字数制限でNG。
予想と反して意外としっかりとした作りになっています。 f:id:cyamax:20180102231136p:plain

マイページで購入履歴を確認できる機能があり、カードが無効だったので「declined(利用停止カード)」になっていました。
f:id:cyamax:20180102231155p:plain

もう少し深く見てみる

ページのhtmlコードを眺めていたら以下のような記述を見つけました。 f:id:cyamax:20180102231731p:plain

display:noneでページ上には表示させていませんが、謎のリンクと画像ファイルの記述がありました。

网站流量统计系统
https://www.51.la

上記URLと中国語を調べたら、サイトへのアクセスを調べる中国のサービスでした。
このサービス自体は特に問題ないと思いますが、 偽サイト関係者が中国語を使う可能性が高まりました。 f:id:cyamax:20180102232150p:plain

f:id:cyamax:20180102232200p:plain

phpinfo

見えてしまった。
ここは偽Raybanのサイトも同じでした。 これ以上はやめておきます。 f:id:cyamax:20180102232520p:plain

本当に危ないサイトなのか

見分けるポイント

①メールが怪しい

amebaからUGGのセール情報が送られてくる時点で「?」となりました。 ※普通はUGGのセール情報はUGGドメインから直接送られてくるかと思います
また、偽サイトの日本語は違和感がありませんが、肝心のメールの日本語が変でした。

②SSLではない

アカウント作成やクレジットカード情報入力時など常にhttpでした(httpsでない)。 この手のサイトはしばらくするとブラックリストにドメインが登録されてしまうため、ドメインやIPがコロコロ変わるためドメイン登録が難しいのだと思います(手間や費用やリスク?)。 f:id:cyamax:20180102233942p:plain

③診断サイトを使う

サイトのURLを入力すると、危険なサイトか診断してくれるサイト。
これが一番手っ取り早いと思います。

check.gred.jp

今回のサイトを診断したら、「フィッシングサイト」の結果になりました。 f:id:cyamax:20180102234239p:plain

最後

上記にも書きましたが、今回のUGGの偽サイトはRaybanの偽サイトよりも日本語の完成度が高く、ぱっと見で偽サイトかわからなくなっていた。
アカウント情報やクレジットカード情報の取得を目的としたサイトだと思いますが、注文機能はしっかりしているので、注文するともしかしたら商品がちゃんと届くかもしれないです。
Rayban偽サイトと手法やメールの文章、メールヘッダ、サイト構成が似ているため同じグループ・もしくは何かしらの関係がある者の犯行の可能性が高いと推察しました。

ハッカーの学校

ハッカーの学校

ハッカーの学校 ハッキング実験室

ハッカーの学校 ハッキング実験室