知らない番号からのSMSは疑うべき。フィッシング詐欺の可能性大
2019/09/24に家族から相談を受けました。内容は以下。
「知らない番号からスマホにSMSが届いたの。内容は宅配便業者さんが『荷物を届けに来たけど不在のため持ち帰った。以下URLから確認してください』っていうもの。URLにアクセスしてみたら真っ赤な警告画面が出てきて驚いた。怖いんだけど、どうすればいいの?最近ネット注文した商品があるから、本当に宅配業者かもしれないし」
話だけではわからないので、実際にスマホでSMSを見せてもらった。
以下がそのスクリーンショット
運送会社とは思えない f234f.top という怪しいURL。宅配の不在通知詐欺っぽい
怪しい。とても怪しい。
何が怪しいかというとURL。ヤマト運輸や佐川急便であれば、URLのドメイン名もkuronekoyamato.co.jp や sagawa-exp.co.jp そのもの、あるいはこれらに近いものになるはず。 f.f234f.top なんて適当なドメインにはならない。しかも https ではなく http でセキュアではない。
このURLにアクセスさせることで、不正やソフトウェアをインストールさせる、あるいは個人情報を入力させて情報を抜き出すことを目的としている可能性が高い。
実際にこのURLにアクセスすると、賢いWEBブラウザが「この先は危険だ」と警告をだしてくれた。このような注意喚起は大変助かる。
これ以上先は危険なので、アクセスしないで止めておいた。
SMSの番号は偽装が可能
電話番号そのものをgoogle検索してみると、電話番号の情報共有サイトなどで口コミ情報がわかるケースが多い。
今回のSMS送信元である番号を調べてみた。口コミをみると「ヤマト運輸ドライバー」であるとの口コミが2件投稿されている。電話番号だけ見ると、本当の宅配業者の番号のように思える。
しかし、SMSの送信元として表示される番号は偽装が可能なのだ。
SMSでは任意の英数字を送信元として表示するための仕様(Sender ID)があり、これに従ってメッセージを送信するだけで任意の文字列を送信元として指定できるという。また、iOSのメッセージアプリなど、昨今のスマートフォンに搭載されているSMSアプリではチャットのような体裁でメッセージのやり取りを表示するものがあるが、iOSのメッセージアプリではこのSender IDを元にスレッド表示を行うため、正規の送信元からのメッセージと同じSender IDを使用することで、偽装したメッセージがスレッドに混入してしまうという。
こうした行為は「スミッシング」と呼ばれ、今年6月に日本サイバー犯罪対策センターから注意喚起も出されている
引用元:SMSでは簡単に送信元を偽装できる | スラド セキュリティ
ドメイン名をいきなりブラウザで開かずに、テキスト検索してみよう
今回のフィッシング詐欺の件も、同じような場面になって困っている人がいるかもしれない。URLアクセス先でgoogle検索をかけてみた。
すると宅配業者を装ったフィッシング詐欺を追いかけているTwitterの投稿を発見。
偽佐川急便、15時過ぎ始業。宅配便の不在通知を装うSMSの転送先に9/20取得のse-ドメイン投入。#MoqHao: 偽 #佐川急便 sagawa.apk - iOS転送(Apple ID)
— Naomi Suzuki (@NaomiSuzuki_) September 23, 2019
23.234.51[.]147
qe-kf[.]top
qe-km[.]top
qe-kk[.]top <イマココ
iOS転送先 hxxp://securityatc-apple[.]top
SMS記載URL hxxp://f.f234f[.]top
この方の投稿スレッドを見ると、犯人はかなり多くのURLを駆使しているらしい。
一人でも多くの方が被害に合わないことを願って、本記事を投稿する。
以上、【注意】宅配便の不在通知を装うSMS詐欺!誘導先は情報を抜き出そうとする不正サイトです...という話題でした。