Go to Qiita Advent Calendar 2024 Top
LoginSignup
3
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@renju

不在通知の偽SMSについて

Last updated at Posted at 2020-12-14

この記事は ISL Advent Calendar 2020 14日目の記事です。
初Qiitaなので甘めに見てください。

#目次
1.はじめに
2.届いたSMS
3.duckdnsとは
4.リンクを開く
5.webサービスを使って調査してみる
6.googleで検索
7.参考情報
8.おわりに

#1. はじめに
 先日遂に私にも宅配便業者を装った「不在通知」の偽SMSが来たので少し調査してみました。
#2. 届いたSMS
 こちらが届いたSMSです。
EpMkxb3VEAs1vaj.jpg
 urlの末尾がduckdns[.]orgになっている事がわかります。

#3. duckdnsとは

duckdnsのサイトによると

Duck DNS is a provider of what is known as a DDNS (Dynamic DNS) service
we provide a public DNS server that anyone can get a subdomain and use one of our provided scripts to update their record(s).

AWSでホストされている無料のダイナミックDNSサービスみたいです。

 ダイナミックDNSは動的(ダイナミック)に割り当てられるIPアドレスが変更になった場合、新しいIPアドレスをDNSサーバに通知し、事前に登録した固定のホスト名(ドメイン名)につないでくれるサービスです。
 グローバルの固定IPはコストが高くなってしまいますが、このサービスを使えばルーターに割り振られている動的IPでも固定IPのようにふるまう事ができます。

#4. リンクを開く
googleによる警告が出てきました。
警告を無視してもそもそも接続できませんでした。
image.png

 urlを検索してみるとNaomi Suzuki氏の以下のツイートが出てきました。

image.png

詐欺サイトはipアドレスやドメインを数時間単位で刻々と変えながら運用しているらしく、その遷移状況を発信しているようでした。
また、アクセス元がAndoroidかiphoneで挙動が異なるらしく、サイトが閉鎖する前はAndoroidの場合は偽のChromeアプリのapkを、iphoneは謎の空白のホップアップを表示する仕様だったみたいです。

#5. webサービスを使って調査してみる
 このまま終われないので12/13時点でアクティブであった「tjewrftldy[.]duckdns[.]org」,「xruxjiqzjt[.]duckdns[.]org」について調査しました。

 まずはaguseを使ってみます。
 aguseは調べたいサイトのurlを入力する事で自分の代わりにaguseがアクセスしてどのようなページが表示されるか、他にも関連情報を安全に調査する事ができます。
image.png
 結果を見てみるとapkが表示され、どちらもipアドレスは74.91.18.108でした。
(本日アクセスし直すと表示されなくなっていたので別の画像を使っています。申し訳ありません..)

次にUrlscan.ioを使います。こちらもaguseと同じようにweb用のサンドボックスとして利用できるサービスになっています。
image.png
どちらもtffed.jsというjavascriptが返されている事が分かりました。

最後にWeb Insightを使います。こちらもwebサイトをスキャンしてくれるサイトですがタイムライン機能があり、ドメインの更新記録やファイルをアップロードしたファイルのタイムスタンプを表示してくれます。
image.png
どちらも2020/07/09にtffed.jsとよばれるjsがアップロードされている事が分かりました。

#6. googleで検索
 tffed.jsを完全一致検索するとweb insightとPastebinの2つの検索結果が出てきました。
image.png
 投稿の中身はtffed.jsのコードで投稿者について調べてみると韓国のマルウェアの研究等を行っている方でした。

web insightでコードを表示してみるとコメントに中国語らしきものが書かれていました。
image.png

jsのデコードに関しては「クソ詐欺メールに引っかかってみた」というタイトルのQittaの記事が削除済みですがキャッシュから読むことができます。

#7. 参考情報

フィッシングサイトを調査する上で役立つリソースの紹介やリンクが豊富にまとめてあります。

#8. おわりに
 今回アドベントカレンダーを書くにあたって昨日Qiitaのアカウントを作ったので「マークダウン?なにそれおいs」という感じでした。フィッシングサイトについて調査するのもOSINTっぽくて楽しいと思いました。フィッシング対策に一役買うとチャレンジコインなるものも頂けるかもしれないらしいです。
 あと数分で日付が変わってしまうので終わりにしたいと思います。最後まで読んでいただきありがとうございました。

3
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?