佐川急便の偽サイト(フィッシングサイト)を調査した
- POSTS
概要 2018/07末頃から、佐川急便からの不在通知を偽ったフィッシングメール(迷惑メール)が送られ、メールを受け取った一部の人が、
メール内の偽サイト(フィッシングサイト)にアクセスし、自分の電話番号を入力してしまうという事例が発生しているらしいので、調査してみた。
偽の「佐川急便」SMSに新たな手口か–携帯電話番号を窃取 - ZDNet Japan
ドメイン情報 まずドメイン(登録された偽アドレス)を調べて驚きだったのが、佐川急便のフィッシングサイトのドメインは一つだけではなく、他にも200弱のフィッシング用と思われるドメインが存在していた。
さらに驚きだったのが、このドメイン登録者は全部で300近くのドメインを登録しており、その中にはsoftbankやdocomo、auを装ったフィッシングサイトも登録されていた。 このサイトは2018年4月頃に話題になったsoftbankを装ったフィッシングサイトと同じ手法のサイトだった。 当時流行ったサイトの持ち主と同一人物かは不明だが、フィッシングサイトを複数持っていることはわかった。
IPとの結びつきを調べると、ドメイン数300弱に対して、IPは40弱ほど結びついていた。
佐川急便のドメインに絞ると、200弱のドメイン数に対してIPアドレスは20弱だった。
フィッシングサイトとして登録されたアドレスの殆どが●●●.comのドメインだった。
.comのドメイン料金は安くはなく、一つのドメインを登録するのに1000円弱かかるので、この登録者はこのフィッシングサイトのドメイン登録料に最低30万円ほど払っている計算になる。
また登録されていたIPアドレスはHiNetとという中国のホスティング会社のものであり、IP自体は台湾を示していた。
ドメインの登録頻度 この登録者名で登録されているドメインを集計してみました(左の数字がその日に登録されたドメイン数)。 一日に何十件も追加しているのがわかります。
# 2018/07/01から2018/08/10までの情報 32 2018-08-10 9 2018-08-09 10 2018-08-08 34 2018-08-07 23 2018-08-06 21 2018-08-05 1 2018-08-04 21 2018-08-03 20 2018-08-01 21 2018-07-31 18 2018-07-28 34 2018-07-27 1 2018-07-18 1 2018-07-17 2 2018-07-16 1 2018-07-13 1 2018-07-12 1 2018-07-11 3 2018-07-09 サイトの中身 トップページ(index.html) 偽サイトのトップページは本物のSAGAWAのトップページと見た目はほぼ同じ。 異なる部分としては問い合わせフォームの部分が微妙に異なるが、並べてみないとわからない。
本物のサイトとコードを比較
偽サイトは本物のサイトをそのままコピーして作成したようで、id名やclass名、コメントなどもそのままだった。
またサイト内の画像やcssファイルは本物のサイトを参照するようになっていた。
サイト内の一部リンクは、なぜか#(トップページ)に飛ばすようにしていたので、一部修正を加えている模様。
apkファイルのコメントアウト 本物のサイトとは異なり、apkファイル(アプリファイル)をダウンロードさせるようなコードがコメントアウト(動かない)されて記載されていた。これについては後で言及。