怪しいSMSを検証してみた

2021-10-14T00:10:40+09:00

怪しいSMSが来た

最近、いかにも怪しいSMSが来た。

運送会社からのメッセージのようだが、見るからに怪しい。

不審点の洗い出し

具体的にどこが怪しいか確認してみよう。

1. 携帯電話の番号から送信されている

トラックドライバーから送信されている可能性もあるが、電話番号知ってるなら電話したほうが早いはず。なぜわざわざSMSで送っているのだろうか。

3. 宛先が不明

宛先不明とのことだが、そもそも宛先が分からない荷物を運送会社は取り扱わない。
それに、宛先が不明なのになぜ電話番号だけわかったのだろうか。

検証

URLが見えているので、このURLについて検証してみる。

whoisでドメインを見てみる

asmin@ubuntu20:~$ whois ngfrt.com
Domain Name: NGFRT.COM
Registry Domain ID: 2646317998_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2021-10-08T05:45:26Z
Creation Date: 2021-10-08T04:50:56Z
Registry Expiry Date: 2022-10-08T04:50:56Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: 480-624-2505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Name Server: NS23.DOMAINCONTROL.COM
Name Server: NS24.DOMAINCONTROL.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

ドメイン管理会社の情報で隠蔽されているので得られる情報はなかった。

IPアドレスを確認してみる

まずはドメインが使用しているIPアドレスを確認してみる。

asmin@ubuntu20:~$ dig aozqr.ngfrt.com

; DiG 9.16.1-Ubuntu aozqr.ngfrt.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;aozqr.ngfrt.com. IN A

;; ANSWER SECTION:
aozqr.ngfrt.com. 156 IN A 45.93.64.3

;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: 水 10月 13 22:24:50 JST 2021
;; MSG SIZE rcvd: 60

IPアドレスを確認したらまたwhoisで情報を確認してみよう。

asmin@ubuntu20:~$ whois 45.93.64.3
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '45.93.64.0 - 45.93.67.255'

% Abuse contact for '45.93.64.0 - 45.93.67.255' is '[email protected]'

inetnum: 45.93.64.0 - 45.93.67.255
netname: HK-HARMONY-20190703
country: NL
org: ORG-KTCT2-RIPE
admin-c: KTC8-RIPE
tech-c: KTC8-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-by: mnt-hk-harmony-1
mnt-lower: mnt-hk-harmony-1
mnt-routes: mnt-hk-harmony-1
created: 2019-07-03T11:16:28Z
last-modified: 2019-07-03T11:16:28Z
source: RIPE

organisation: ORG-KTCT2-RIPE
org-name: Kam Tai Ching trading as Harmony IT Company
country: HK
org-type: LIR
address: Flat 6A, Blk B, Marvel Industrial Building, Kwai Fung Crt
address: 0000
address: Kowloon
address: HONG KONG
phone: +85263028970
admin-c: KTC8-RIPE
tech-c: KTC8-RIPE
abuse-c: AR53357-RIPE
mnt-ref: mnt-hk-harmony-1
mnt-by: RIPE-NCC-HM-MNT
mnt-by: mnt-hk-harmony-1
created: 2019-06-20T09:55:06Z
last-modified: 2020-12-16T13:02:25Z
source: RIPE # Filtered

どうやら持ち主は香港にいるようだ。
いよいよ怪しくなってきた。

ブラウザでアクセスしてみる

安全のためにVMにインストールしたubuntuからアクセスしてみることにした。
PCのブラウザでアクセスしてみたが「NOT FOUND」になってしまった。
ちなみにHTTPのNOT FOUNDは「404」のエラーコードが表示されるので、これはサイト側が用意したページだろう。

方法は割愛するが、FirefoxのUA変更機能で「iPhone 11 Pro」になってアクセスしてみる。

「APP Storeアカウントは安全異常があるので、再度ログインしてください。」というメッセージが表示された。
メッセージの日本語が怪しい。
というかそもそも運送会社にAPP Storeは関係ないのでは？
ともかく「OK」ボタンをクリックしてみた。

Apple IDのページが出てきた。が、URLを見てわかる通り、偽装ページだ。

ついでに

URLに「ja」と書いてあったので「en」にしたらつながるのか試してみた。

なぜか中国語のページが出てきた。（英語じゃないんかい）
whois情報も見てみた

asmin@ubuntu20:~$ dig dgtixphmpt.duckdns.org

; DiG 9.16.1-Ubuntu dgtixphmpt.duckdns.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;dgtixphmpt.duckdns.org. IN A

;; ANSWER SECTION:
dgtixphmpt.duckdns.org. 23 IN A 107.148.190.218

;; Query time: 7 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: 水 10月 13 23:24:10 JST 2021
;; MSG SIZE rcvd: 67

asmin@ubuntu20:~$ whois 107.148.190.218

NetRange: 107.148.0.0 - 107.149.255.255
CIDR: 107.148.0.0/15
NetName: PT-82-10
NetHandle: NET-107-148-0-0-1
Parent: NET107 (NET-107-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS398478, AS398993, AS399195, AS54600, AS398823
Organization: PEG TECH INC (PT-82)
RegDate: 2013-11-08
Updated: 2021-01-06
Ref: https://rdap.arin.net/registry/ip/107.148.0.0

OrgName: PEG TECH INC
OrgId: PT-82
Address: 55 South Market Street, Suite 320
City: San Jose
StateProv: CA
PostalCode: 95113
Country: US
RegDate: 2012-03-27
Updated: 2017-01-28
Ref: https://rdap.arin.net/registry/entity/PT-82

OrgNOCHandle: NOC12550-ARIN
OrgNOCName: NOC
OrgNOCPhone: +1-657-206-5036
OrgNOCEmail: [email protected]
OrgNOCRef: https://rdap.arin.net/registry/entity/NOC12550-ARIN

OrgAbuseHandle: ABUSE3497-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-657-206-5036
OrgAbuseEmail: [email protected]
OrgAbuseRef: https://rdap.arin.net/registry/entity/ABUSE3497-ARIN

OrgTechHandle: NOC12550-ARIN
OrgTechName: NOC
OrgTechPhone: +1-657-206-5036
OrgTechEmail: [email protected]
OrgTechRef: https://rdap.arin.net/registry/entity/NOC12550-ARIN

Apple ID収集サイトの持ち主はアメリカにいるらしい。

でたらめなIDを入れてみた

でたらめに入力したらどんな反応を返すか試してみた。

なんと2ファクタ認証を求められた。
ここでロックキーも盗もうという魂胆だろう。

まとめ

今回、最初から怪しさ満点のメッセージだったため引っかかる人は少ないと思うが、覚えのない差出人からのSMSには十分注意したほうがいいだろう。
また、今回のSMSは検索してみると多数の人に配られているようで多数検索されるのでそちらも見てみるといいだろう。
皆さんはこのような怪しいSMSに引っかからないように十分注意しておきましょう。

asminの投稿 - Crieit