2021-10-14に投稿

怪しいSMSを検証してみた

怪しいSMSが来た

最近、いかにも怪しいSMSが来た。
怪しいSMS

運送会社からのメッセージのようだが、見るからに怪しい。

不審点の洗い出し

具体的にどこが怪しいか確認してみよう。
image

1. 携帯電話の番号から送信されている

トラックドライバーから送信されている可能性もあるが、電話番号知ってるなら電話したほうが早いはず。なぜわざわざSMSで送っているのだろうか。

2. 運送会社名が不審

一瞬クロネコヤマトのヤマト運輸を思い浮かべるが、よく見るとひらがなだ。

3. 宛先が不明

宛先不明とのことだが、そもそも宛先が分からない荷物を運送会社は取り扱わない。
それに、宛先が不明なのになぜ電話番号だけわかったのだろうか。

4. URLが不審

URLが明らかにおかしい。運送会社の名前に基づいていない。

検証

URLが見えているので、このURLについて検証してみる。

whoisでドメインを見てみる

[email protected]:~$ whois ngfrt.com
Domain Name: NGFRT.COM
Registry Domain ID: 2646317998_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2021-10-08T05:45:26Z
Creation Date: 2021-10-08T04:50:56Z
Registry Expiry Date: 2022-10-08T04:50:56Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: 480-624-2505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Name Server: NS23.DOMAINCONTROL.COM
Name Server: NS24.DOMAINCONTROL.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

ドメイン管理会社の情報で隠蔽されているので得られる情報はなかった。

IPアドレスを確認してみる

まずはドメインが使用しているIPアドレスを確認してみる。

[email protected]:~$ dig aozqr.ngfrt.com

; DiG 9.16.1-Ubuntu aozqr.ngfrt.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;aozqr.ngfrt.com. IN A

;; ANSWER SECTION:
aozqr.ngfrt.com. 156 IN A 45.93.64.3

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: 水 10月 13 22:24:50 JST 2021
;; MSG SIZE rcvd: 60

IPアドレスを確認したらまたwhoisで情報を確認してみよう。

[email protected]:~$ whois 45.93.64.3
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '45.93.64.0 - 45.93.67.255'

% Abuse contact for '45.93.64.0 - 45.93.67.255' is '[email protected]'

inetnum: 45.93.64.0 - 45.93.67.255
netname: HK-HARMONY-20190703
country: NL
org: ORG-KTCT2-RIPE
admin-c: KTC8-RIPE
tech-c: KTC8-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-by: mnt-hk-harmony-1
mnt-lower: mnt-hk-harmony-1
mnt-routes: mnt-hk-harmony-1
created: 2019-07-03T11:16:28Z
last-modified: 2019-07-03T11:16:28Z
source: RIPE

organisation: ORG-KTCT2-RIPE
org-name: Kam Tai Ching trading as Harmony IT Company
country: HK
org-type: LIR
address: Flat 6A, Blk B, Marvel Industrial Building, Kwai Fung Crt
address: 0000
address: Kowloon
address: HONG KONG
phone: +85263028970
admin-c: KTC8-RIPE
tech-c: KTC8-RIPE
abuse-c: AR53357-RIPE
mnt-ref: mnt-hk-harmony-1
mnt-by: RIPE-NCC-HM-MNT
mnt-by: mnt-hk-harmony-1
created: 2019-06-20T09:55:06Z
last-modified: 2020-12-16T13:02:25Z
source: RIPE # Filtered

どうやら持ち主は香港にいるようだ。
いよいよ怪しくなってきた。

ブラウザでアクセスしてみる

安全のためにVMにインストールしたubuntuからアクセスしてみることにした。
PCのブラウザでアクセスしてみたが「NOT FOUND」になってしまった。
ちなみにHTTPのNOT FOUNDは「404」のエラーコードが表示されるので、これはサイト側が用意したページだろう。
PCブラウザでアクセスしたがNotFound

UA偽装したブラウザでアクセスしてみる

方法は割愛するが、FirefoxのUA変更機能で「iPhone 11 Pro」になってアクセスしてみる。
image
「APP Storeアカウントは安全異常があるので、再度ログインしてください。」というメッセージが表示された。
メッセージの日本語が怪しい。
というかそもそも運送会社にAPP Storeは関係ないのでは?
ともかく「OK」ボタンをクリックしてみた。
image
Apple IDのページが出てきた。が、URLを見てわかる通り、偽装ページだ。

ついでに

URLに「ja」と書いてあったので「en」にしたらつながるのか試してみた。
image
なぜか中国語のページが出てきた。(英語じゃないんかい)
whois情報も見てみた

[email protected]:~$ dig dgtixphmpt.duckdns.org

; DiG 9.16.1-Ubuntu dgtixphmpt.duckdns.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;dgtixphmpt.duckdns.org. IN A

;; ANSWER SECTION:
dgtixphmpt.duckdns.org. 23 IN A 107.148.190.218

;; Query time: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: 水 10月 13 23:24:10 JST 2021
;; MSG SIZE rcvd: 67

[email protected]:~$ whois 107.148.190.218

NetRange: 107.148.0.0 - 107.149.255.255
CIDR: 107.148.0.0/15
NetName: PT-82-10
NetHandle: NET-107-148-0-0-1
Parent: NET107 (NET-107-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS398478, AS398993, AS399195, AS54600, AS398823
Organization: PEG TECH INC (PT-82)
RegDate: 2013-11-08
Updated: 2021-01-06
Ref: https://rdap.arin.net/registry/ip/107.148.0.0

OrgName: PEG TECH INC
OrgId: PT-82
Address: 55 South Market Street, Suite 320
City: San Jose
StateProv: CA
PostalCode: 95113
Country: US
RegDate: 2012-03-27
Updated: 2017-01-28
Ref: https://rdap.arin.net/registry/entity/PT-82

OrgNOCHandle: NOC12550-ARIN
OrgNOCName: NOC
OrgNOCPhone: +1-657-206-5036
OrgNOCEmail: [email protected]
OrgNOCRef: https://rdap.arin.net/registry/entity/NOC12550-ARIN

OrgAbuseHandle: ABUSE3497-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-657-206-5036
OrgAbuseEmail: [email protected]
OrgAbuseRef: https://rdap.arin.net/registry/entity/ABUSE3497-ARIN

OrgTechHandle: NOC12550-ARIN
OrgTechName: NOC
OrgTechPhone: +1-657-206-5036
OrgTechEmail: [email protected]
OrgTechRef: https://rdap.arin.net/registry/entity/NOC12550-ARIN

Apple ID収集サイトの持ち主はアメリカにいるらしい。

でたらめなIDを入れてみた

でたらめに入力したらどんな反応を返すか試してみた。
image
なんと2ファクタ認証を求められた。
ここでロックキーも盗もうという魂胆だろう。
image

まとめ

今回、最初から怪しさ満点のメッセージだったため引っかかる人は少ないと思うが、覚えのない差出人からのSMSには十分注意したほうがいいだろう。
また、今回のSMSは検索してみると多数の人に配られているようで多数検索されるのでそちらも見てみるといいだろう。
皆さんはこのような怪しいSMSに引っかからないように十分注意しておきましょう。

ツイッターでシェア
みんなに共有、忘れないようにメモ

asmin

SuperGTとWECなどモータースポーツが好きです。たまにカメラを持ってレースや風景を撮影しています。インフラエンジニアなのでLinuxやサーバの話もします。

Crieitは誰でも投稿できるサービスです。 是非記事の投稿をお願いします。どんな軽い内容でも投稿できます。

また、「こんな記事が読みたいけど見つからない!」という方は是非記事投稿リクエストボードへ!

有料記事を販売できるようになりました!

こじんまりと作業ログやメモ、進捗を書き残しておきたい方はボード機能をご利用ください。
ボードとは?

コメント