Mijinko_SD宛に届いた銀行パスワードを盗もうとするSMS

ある日、Mijinko_SD.iconのスマホにこんなSMSが届いた。

https://gyazo.com/8ec7e0eaa32dc233211743f4292e44ab

【重要なお知らせ】平素は三井住友力ードをご利用いただき、誠にありがとうございます。

このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、サービスのご利用を一部制限させていただき h ttps://aynmstk.top

※回答が完了しますと、通常どおり口グイン後のお手続きが可能になりま

す。

※一定期間ご確認いただけない場合、口座取引を制限させていただきます。

大変だ、何が大変かって私三井住友カード持ってないということで急いで添付されたURLを開いてみた。

URLで気づけよ...bsahd.icon

最初開いてみると、真っ白で何もないページの上にCloudflareのCAPTCHAが置いてあるだけのすごく殺風景なページに招待される。

https://gyazo.com/e544283f244049b99b2bc3b5e6956bf9

そこまでして守りたいものがあるのだろうか…

それをクリアして人間様だと認められると、晴れて次のページに進めた。

次に進むと、「Vpassログイン」という画面が表示される。

https://gyazo.com/75856ea9d2a8503180a38d229be12a47

いきなり何の説明もなく表示されるログイン画面。

ここでログインしろというわけか…？

このVpassログインの画面は本物そっくりSummer498.icon

ソースパクってこれるからそれぐらいやるのは当たり前ではあるけど

しかしながら私は三井住友のアカウントを持っていない。

下に「初めてご利用の方」という案内があったので、それを押してみた。

https://gyazo.com/c974f118dd096b29b46f57c66a8a57cf

何やらカードの情報を色々と求められる…

何を求められているかというと、

会員番号（クレジットカード番号）

カード有効期限

セキュリティコード

生年月日

カード名義人（半角ローマ字）

電話番号

メインメールアドレス

4桁の暗証番号

本人しか知り得ない様々な情報、とりわけ住所などの一般的な個人情報ではなく、何故かカードや口座に関する情報ばかりを質問される。清々しい程にカード情報盗み取ろうとしてて正体隠す気無いのかな

本物の vpass のこの画面は知らないけど、画面のコンセプトが本物(の他の画面)と比べても一貫している

多分同じあって、そこからソースをパクってきたんじゃないか

登録できそうなカードは持っていない。

しかしながら、登録したい。

というわけで、適当に個人情報を入力した。

https://gyazo.com/37307cfb66836546cb50950f86b4bbbe

その結果―――

https://gyazo.com/650f074cd274792f33176cf85e830cdb

おお！弾かれてしまった！

メッセージの出し方に違和感があるSummer498.icon

大抵カード番号の不正な文字列は単体で弾かれる

多分入力時点でサーバーに送信されててメッセージ自体は必ず出るんじゃね

しかし、あれから色々と試してみたものの、一向に登録されなかった。

https://gyazo.com/5cd1719d0628b26b985a2d377c172640

一体何がダメだったんでしょうかね～

さて、気を取り直して、最初のログイン画面に戻ってきた。

https://gyazo.com/c6c4676c04d69903ae79550d8b27736e

他のリンクも試してみたが、押しても反応しないか、ログイン画面の一番上に戻されるだけだった。ツマンネーノ

https://gyazo.com/ddf850e3d95718d99ba96063365f1848

IDとパスワードに1234567を入力してログインボタンを押してみる。

すると・・・

https://gyazo.com/63ee86d988eae23a2a79875adc260048

おおっと！認証に成功してしまった！

たまたまID:1234567さんのアカウントを引き当ててしまったんだろうか！？

ひとまずこれで利用停止されずに済んだというわけだめでたしめでたし。

ところで、さっきから右下に表示されているこれはなんだろうか。

https://gyazo.com/881e51dbb64d7c82d5dc2f2d3e3259df

タップすると、中国語らしき文章で色々出てくる。

https://gyazo.com/9fd5f4707ed665eaaf919937d125709c

https://gyazo.com/b4897bc5fdbfdbaef277da9afcb720eb

データベース名まで出てしまっているけど大丈夫なんだろうか…

調べてみたところ、GitHubにそれらしきものがあった。

https://gyazo.com/e3284cf2767a51f1bcd790edb69500d5

ThinkPHPのthink-traceではないだろうか。

アイコンも同じだし。

トレンドマイクロによると、

主に中国で利用されているWebアプリケーション開発フレームワーク

とのことらしい。

ThinkPHP | トレンドマイクロセキュリティブログ

さて、サイト内でできることも無くなってきたので、今度はサーバー情報を調べる。

https://gyazo.com/9d8845d00f2ef9f8b7abe836318b3a78

https://gyazo.com/d140d462fa3cf3227359313d9f5beadf

パット見Cloudflareが所有しているサーバーに建てられているように見える。

ドメイン自体もWHOISを調べた限りだとCloudflareが管理している。

Cloudflareに連絡すれば潰せるんじゃないだろうか。

次回！

詐欺師のサイト潰してみた。

乞うご期待。

深淵をのぞく時深淵もまたこちらをのぞいているのだみたいなことがありそうで、こういう遊びはあまりやったことがないけど、どんなリスクがあるのか、それに対してどんな防御策があるのか気になるinajob.icontakker.icon

別にアクセス元バレたところで（いろんな人がアクセスしてると思うので）何も無い気がするけれど、一応Tor Browser使ってアクセスしたMijinko_SD.icon

Tor使ってたらアクセス元特定するのはかなり難しいはず

自分から入力した個人情報以外は、普通のそこら辺のWebサイトでも収集している情報になるので、もしそういった情報に渡したらまずいものがあるとするならば、普段のブラウジングにも気を使わなければならないことになる

つまり個人情報を入力しないように気を使えばOKという風に考えている

関係ないけど、これ日経メディカルのアカウント登録画面（個人情報繋がりで）Mijinko_SD.icon

https://gyazo.com/8dd3721c1991444ef3b3b3f53c7c15c8

ただのニュースサイトなのにどんだけ情報取んねんって話だし、（取引とかしないつもりの人が）これに真面目に個人情報入力するのも気が知れない

世間的に必要なら入力することのあるよねって感じの個人情報を片っ端から求められている印象

やってる事自体は詐欺サイトと何ら変わらんのでは？って思う

こういうサイト、登録画面の時点で登録する気が失せるSummer498.icon

どうしても登録したい時に明らかに虚偽とわかる虚偽の情報を書き込む