tag:crieit.net,2005:https://crieit.net/users/asmin023/feed
asminの投稿 - Crieit
Crieitでユーザーasminによる最近の投稿
2021-10-14T00:10:40+09:00
https://crieit.net/users/asmin023/feed
tag:crieit.net,2005:PublicArticle/17706
2021-10-14T00:10:40+09:00
2021-10-14T00:10:40+09:00
https://crieit.net/posts/SMS
怪しいSMSを検証してみた
<h1 id="怪しいSMSが来た"><a href="#%E6%80%AA%E3%81%97%E3%81%84SMS%E3%81%8C%E6%9D%A5%E3%81%9F">怪しいSMSが来た</a></h1>
<p>最近、いかにも怪しいSMSが来た。<br />
<a href="https://crieit.now.sh/upload_images/1bfe7b5d5adb532d93f0fb8cbdb03d8b6166d52a05208.jpg" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/1bfe7b5d5adb532d93f0fb8cbdb03d8b6166d52a05208.jpg?mw=700" alt="怪しいSMS" /></a></p>
<p>運送会社からのメッセージのようだが、見るからに怪しい。</p>
<h2 id="不審点の洗い出し"><a href="#%E4%B8%8D%E5%AF%A9%E7%82%B9%E3%81%AE%E6%B4%97%E3%81%84%E5%87%BA%E3%81%97">不審点の洗い出し</a></h2>
<p>具体的にどこが怪しいか確認してみよう。<br />
<a href="https://crieit.now.sh/upload_images/a8bfcf8b00bba64aec3b05fdf2c737c06166d73e2ac7b.jpg" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/a8bfcf8b00bba64aec3b05fdf2c737c06166d73e2ac7b.jpg?mw=700" alt="image" /></a></p>
<h5 id="1. 携帯電話の番号から送信されている"><a href="#1.+%E6%90%BA%E5%B8%AF%E9%9B%BB%E8%A9%B1%E3%81%AE%E7%95%AA%E5%8F%B7%E3%81%8B%E3%82%89%E9%80%81%E4%BF%A1%E3%81%95%E3%82%8C%E3%81%A6%E3%81%84%E3%82%8B">1. 携帯電話の番号から送信されている</a></h5>
<p>トラックドライバーから送信されている可能性もあるが、電話番号知ってるなら電話したほうが早いはず。なぜわざわざSMSで送っているのだろうか。</p>
<h5 id="2. 運送会社名が不審"><a href="#2.+%E9%81%8B%E9%80%81%E4%BC%9A%E7%A4%BE%E5%90%8D%E3%81%8C%E4%B8%8D%E5%AF%A9">2. 運送会社名が不審</a></h5>
<p>一瞬クロネコヤマトのヤマト運輸を思い浮かべるが、よく見るとひらがなだ。</p>
<h5 id="3. 宛先が不明"><a href="#3.+%E5%AE%9B%E5%85%88%E3%81%8C%E4%B8%8D%E6%98%8E">3. 宛先が不明</a></h5>
<p>宛先不明とのことだが、そもそも宛先が分からない荷物を運送会社は取り扱わない。<br />
それに、宛先が不明なのになぜ電話番号だけわかったのだろうか。</p>
<h5 id="4. URLが不審"><a href="#4.+URL%E3%81%8C%E4%B8%8D%E5%AF%A9">4. URLが不審</a></h5>
<p>URLが明らかにおかしい。運送会社の名前に基づいていない。</p>
<h2 id="検証"><a href="#%E6%A4%9C%E8%A8%BC">検証</a></h2>
<p>URLが見えているので、このURLについて検証してみる。</p>
<h5 id="whoisでドメインを見てみる"><a href="#whois%E3%81%A7%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%82%92%E8%A6%8B%E3%81%A6%E3%81%BF%E3%82%8B">whoisでドメインを見てみる</a></h5>
<blockquote>
<p>asmin@ubuntu20:~$ whois ngfrt.com<br />
Domain Name: NGFRT.COM<br />
Registry Domain ID: 2646317998_DOMAIN_COM-VRSN<br />
Registrar WHOIS Server: whois.godaddy.com<br />
Registrar URL: http://www.godaddy.com<br />
Updated Date: 2021-10-08T05:45:26Z<br />
Creation Date: 2021-10-08T04:50:56Z<br />
Registry Expiry Date: 2022-10-08T04:50:56Z<br />
Registrar: GoDaddy.com, LLC<br />
Registrar IANA ID: 146<br />
Registrar Abuse Contact Email: [email protected]<br />
Registrar Abuse Contact Phone: 480-624-2505<br />
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited<br />
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited<br />
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited<br />
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited<br />
Name Server: NS23.DOMAINCONTROL.COM<br />
Name Server: NS24.DOMAINCONTROL.COM<br />
DNSSEC: unsigned<br />
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/<br />
<br />
ドメイン管理会社の情報で隠蔽されているので得られる情報はなかった。</p>
</blockquote>
<h5 id="IPアドレスを確認してみる"><a href="#IP%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B">IPアドレスを確認してみる</a></h5>
<p>まずはドメインが使用しているIPアドレスを確認してみる。</p>
<blockquote>
<p>asmin@ubuntu20:~$ dig aozqr.ngfrt.com</p>
<p>; DiG 9.16.1-Ubuntu aozqr.ngfrt.com<br />
;; global options: +cmd<br />
;; Got answer:<br />
;; ->>HEADER<br />
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1</p>
<p>;; OPT PSEUDOSECTION:<br />
; EDNS: version: 0, flags:; udp: 65494<br />
;; QUESTION SECTION:<br />
;aozqr.ngfrt.com. IN A</p>
<p>;; ANSWER SECTION:<br />
aozqr.ngfrt.com. 156 IN A 45.93.64.3</p>
<p>;; Query time: 0 msec<br />
;; SERVER: 127.0.0.53#53(127.0.0.53)<br />
;; WHEN: 水 10月 13 22:24:50 JST 2021<br />
;; MSG SIZE rcvd: 60</p>
</blockquote>
<p>IPアドレスを確認したらまたwhoisで情報を確認してみよう。</p>
<blockquote>
<p>asmin@ubuntu20:~$ whois 45.93.64.3<br />
% This is the RIPE Database query service.<br />
% The objects are in RPSL format.<br />
%<br />
% The RIPE Database is subject to Terms and Conditions.<br />
% See http://www.ripe.net/db/support/db-terms-conditions.pdf</p>
<p>% Note: this output has been filtered.<br />
% To receive output for a database update, use the "-B" flag.</p>
<p>% Information related to '45.93.64.0 - 45.93.67.255'</p>
<p>% Abuse contact for '45.93.64.0 - 45.93.67.255' is '[email protected]'</p>
<p>inetnum: 45.93.64.0 - 45.93.67.255<br />
netname: HK-HARMONY-20190703<br />
country: NL<br />
org: ORG-KTCT2-RIPE<br />
admin-c: KTC8-RIPE<br />
tech-c: KTC8-RIPE<br />
status: ALLOCATED PA<br />
mnt-by: RIPE-NCC-HM-MNT<br />
mnt-by: mnt-hk-harmony-1<br />
mnt-lower: mnt-hk-harmony-1<br />
mnt-routes: mnt-hk-harmony-1<br />
created: 2019-07-03T11:16:28Z<br />
last-modified: 2019-07-03T11:16:28Z<br />
source: RIPE</p>
<p>organisation: ORG-KTCT2-RIPE<br />
org-name: Kam Tai Ching trading as Harmony IT Company<br />
country: HK<br />
org-type: LIR<br />
address: Flat 6A, Blk B, Marvel Industrial Building, Kwai Fung Crt<br />
address: 0000<br />
address: Kowloon<br />
address: HONG KONG<br />
phone: +85263028970<br />
admin-c: KTC8-RIPE<br />
tech-c: KTC8-RIPE<br />
abuse-c: AR53357-RIPE<br />
mnt-ref: mnt-hk-harmony-1<br />
mnt-by: RIPE-NCC-HM-MNT<br />
mnt-by: mnt-hk-harmony-1<br />
created: 2019-06-20T09:55:06Z<br />
last-modified: 2020-12-16T13:02:25Z<br />
source: RIPE # Filtered</p>
</blockquote>
<p>どうやら持ち主は香港にいるようだ。<br />
いよいよ怪しくなってきた。</p>
<h5 id="ブラウザでアクセスしてみる"><a href="#%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%81%A7%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B">ブラウザでアクセスしてみる</a></h5>
<p>安全のためにVMにインストールしたubuntuからアクセスしてみることにした。<br />
PCのブラウザでアクセスしてみたが「NOT FOUND」になってしまった。<br />
ちなみにHTTPのNOT FOUNDは「404」のエラーコードが表示されるので、これはサイト側が用意したページだろう。<br />
<a href="https://crieit.now.sh/upload_images/597bd1d6c2c9c6c6581b2d8f65c855e46166e5db0d1c9.jpg" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/597bd1d6c2c9c6c6581b2d8f65c855e46166e5db0d1c9.jpg?mw=700" alt="PCブラウザでアクセスしたがNotFound" /></a></p>
<h5 id="UA偽装したブラウザでアクセスしてみる"><a href="#UA%E5%81%BD%E8%A3%85%E3%81%97%E3%81%9F%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%81%A7%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B">UA偽装したブラウザでアクセスしてみる</a></h5>
<p>方法は割愛するが、FirefoxのUA変更機能で「iPhone 11 Pro」になってアクセスしてみる。<br />
<a href="https://crieit.now.sh/upload_images/22c875a08166151c086761c9505e3d166166e8e93b415.jpg" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/22c875a08166151c086761c9505e3d166166e8e93b415.jpg?mw=700" alt="image" /></a><br />
「APP Storeアカウントは安全異常があるので、再度ログインしてください。」というメッセージが表示された。<br />
メッセージの日本語が怪しい。<br />
というかそもそも運送会社にAPP Storeは関係ないのでは?<br />
ともかく「OK」ボタンをクリックしてみた。<br />
<a href="https://crieit.now.sh/upload_images/e380e9eadd0e4f75365d7ec253b32cd36166eadbb07f6.jpg" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/e380e9eadd0e4f75365d7ec253b32cd36166eadbb07f6.jpg?mw=700" alt="image" /></a><br />
Apple IDのページが出てきた。が、URLを見てわかる通り、偽装ページだ。</p>
<h5 id="ついでに"><a href="#%E3%81%A4%E3%81%84%E3%81%A7%E3%81%AB">ついでに</a></h5>
<p>URLに「ja」と書いてあったので「en」にしたらつながるのか試してみた。<br />
<a href="https://crieit.now.sh/upload_images/16f150bae2eaf91a64d19364b03f145b6166edd988d2e.jpg" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/16f150bae2eaf91a64d19364b03f145b6166edd988d2e.jpg?mw=700" alt="image" /></a><br />
なぜか中国語のページが出てきた。(英語じゃないんかい)<br />
whois情報も見てみた</p>
<blockquote>
<p>asmin@ubuntu20:~$ dig dgtixphmpt.duckdns.org</p>
<p>; DiG 9.16.1-Ubuntu dgtixphmpt.duckdns.org<br />
;; global options: +cmd<br />
;; Got answer:<br />
;; ->>HEADER<br />
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1</p>
<p>;; OPT PSEUDOSECTION:<br />
; EDNS: version: 0, flags:; udp: 65494<br />
;; QUESTION SECTION:<br />
;dgtixphmpt.duckdns.org. IN A</p>
<p>;; ANSWER SECTION:<br />
dgtixphmpt.duckdns.org. 23 IN A 107.148.190.218</p>
<p>;; Query time: 7 msec<br />
;; SERVER: 127.0.0.53#53(127.0.0.53)<br />
;; WHEN: 水 10月 13 23:24:10 JST 2021<br />
;; MSG SIZE rcvd: 67</p>
<p>asmin@ubuntu20:~$ whois 107.148.190.218</p>
<p>NetRange: 107.148.0.0 - 107.149.255.255<br />
CIDR: 107.148.0.0/15<br />
NetName: PT-82-10<br />
NetHandle: NET-107-148-0-0-1<br />
Parent: NET107 (NET-107-0-0-0-0)<br />
NetType: Direct Allocation<br />
OriginAS: AS398478, AS398993, AS399195, AS54600, AS398823<br />
Organization: PEG TECH INC (PT-82)<br />
RegDate: 2013-11-08<br />
Updated: 2021-01-06<br />
Ref: https://rdap.arin.net/registry/ip/107.148.0.0</p>
<p>OrgName: PEG TECH INC<br />
OrgId: PT-82<br />
Address: 55 South Market Street, Suite 320<br />
City: San Jose<br />
StateProv: CA<br />
PostalCode: 95113<br />
Country: US<br />
RegDate: 2012-03-27<br />
Updated: 2017-01-28<br />
Ref: https://rdap.arin.net/registry/entity/PT-82</p>
<p>OrgNOCHandle: NOC12550-ARIN<br />
OrgNOCName: NOC<br />
OrgNOCPhone: +1-657-206-5036<br />
OrgNOCEmail: [email protected]<br />
OrgNOCRef: https://rdap.arin.net/registry/entity/NOC12550-ARIN</p>
<p>OrgAbuseHandle: ABUSE3497-ARIN<br />
OrgAbuseName: Abuse<br />
OrgAbusePhone: +1-657-206-5036<br />
OrgAbuseEmail: [email protected]<br />
OrgAbuseRef: https://rdap.arin.net/registry/entity/ABUSE3497-ARIN</p>
<p>OrgTechHandle: NOC12550-ARIN<br />
OrgTechName: NOC<br />
OrgTechPhone: +1-657-206-5036<br />
OrgTechEmail: [email protected]<br />
OrgTechRef: https://rdap.arin.net/registry/entity/NOC12550-ARIN</p>
</blockquote>
<p>Apple ID収集サイトの持ち主はアメリカにいるらしい。</p>
<h5 id="でたらめなIDを入れてみた"><a href="#%E3%81%A7%E3%81%9F%E3%82%89%E3%82%81%E3%81%AAID%E3%82%92%E5%85%A5%E3%82%8C%E3%81%A6%E3%81%BF%E3%81%9F">でたらめなIDを入れてみた</a></h5>
<p>でたらめに入力したらどんな反応を返すか試してみた。<br />
<a href="https://crieit.now.sh/upload_images/2c4ebed56ebcf45fad43726d2c86d0aa6166f5f02e4d2.jpg" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/2c4ebed56ebcf45fad43726d2c86d0aa6166f5f02e4d2.jpg?mw=700" alt="image" /></a><br />
なんと2ファクタ認証を求められた。<br />
ここでロックキーも盗もうという魂胆だろう。<br />
<a href="https://crieit.now.sh/upload_images/ed42710c477b7f3718966f9a49b11d166166f64b7dd38.jpg" target="_blank" rel="nofollow noopener"><img src="https://crieit.now.sh/upload_images/ed42710c477b7f3718966f9a49b11d166166f64b7dd38.jpg?mw=700" alt="image" /></a></p>
<h2 id="まとめ"><a href="#%E3%81%BE%E3%81%A8%E3%82%81">まとめ</a></h2>
<p>今回、最初から怪しさ満点のメッセージだったため引っかかる人は少ないと思うが、覚えのない差出人からのSMSには十分注意したほうがいいだろう。<br />
また、今回のSMSは検索してみると多数の人に配られているようで多数検索されるのでそちらも見てみるといいだろう。<br />
皆さんはこのような怪しいSMSに引っかからないように十分注意しておきましょう。</p>
asmin