alfort's Blog

Linuxエンジニアのメモ

郵便局を装ったスパムSMSがやってきたので調べてみた

ある日知り合いでもない電話番号からSMSが来たけど怪しすぎたので調べてみた。

届いたSMS

以下のようなSMSが届いてきた。

日本郵便を装っていた。

f:id:Alfort728:20190504160517p:plain

URLもjppostとか使っていてそれっぽいんだけれども、httpサービスなのになぜだか81番のポート番号を使うようにしていたり怪しすぎる…

jppost-ahe.comって検索かける時点でahe以外にもakaとかいろいろサジェスト出てくるし…

とりあえずアクセスしてみる

アクセスしてみると、否応なしに.apkファイルのダウンロード、つまりAndroid向けスマホのアプリのインストールが促される。

これをインストールしてしまうとおそらくスマホを通して個人情報流出とかいろいろ大変なことになってしまいそうな気がする。

日本人ならちょっと違和感を覚えるフォントでインストールの説明画像がついているし、全く関係がないアドレスを踏んでみると中国語のなんとも言えないページに移るし完全にスパムサイトっぽい。

なんかそれらしい情報が取れないか調べてみる

とりあえずwhoisでなにか情報が取れないかを調べてみる。

以下が取れたログ。

やっぱり何かしら中国に関わりのある誰かがサイトを作っているっぽい。

日本の郵便を中国が牛耳っているってことは…ないですよね。

[Querying whois.verisign-grs.com]
[Redirected to whois.paycenter.com.cn]
[Querying whois.paycenter.com.cn]
[whois.paycenter.com.cn]
Domain Name:jppost-ahe.com
Registry Domain ID:2379729768_DOMAIN_COM-VRSN
Registrar WHOIS Server:whois.paycenter.com.cn
Registrar URL:http://www.xinnet.com
Updated Date:2019-04-13T08:26:38.00Z
Creation Date:2019-04-13T08:26:38.00Z
Registrar Registration Expiration Date:2020-04-13T08:26:38.00Z
Registrar:XINNET TECHNOLOGY CORPORATION
Registrar IANA ID:120
Registrar Abuse Contact Email:supervision@xinnet.com
Registrar Abuse Contact Phone:+86.1087128064
Reseller:shangwuzhongguo
Domain Status:
Registry Registrant ID:Registrant Name:
Registrant Organization:Registrant Street:
Registrant City:Registrant State/Province:Registrant Postal Code:
Registrant Country:
Registrant Phone:Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email:
Registry Admin ID:Admin Name:Admin Organization:
Admin Street:Admin City:
Admin State/Province:
Admin PostalCode:
Admin Country:Admin Phone:
Admin Phone Ext:Admin Fax:
Admin Fax Ext:Admin Email:
Registry Tech ID:
Tech Name:Tech Organization:
Tech Street:Tech City:
Tech State/Province:
Tech PostalCode:
Tech Country:
Tech Phone:
Tech Phone Ext:
Tech Fax:Tech Fax Ext:
Tech Email:Name Server:ns1.bdydns.cnName Server:ns2.bdydns.cnDNSSEC:unsignedURL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/>>> Last update of WHOIS database: 2019-05-04T07:16:50.00Z <<<:

For more information on Whois status codes, please visit https://icann.org/epp

The Data in Paycenter's WHOIS database is provided by Paycenter
for information purposes, and to assist persons in obtaining
information about or related to a domain name registration record.Paycenter does not guarantee its accuracy.  By submitting
a WHOIS query, you agree that you will use this Data only
for lawful purposes and that,
under no circumstances will you use this Data to:
(1) allow, enable, or otherwise support the transmission
of mass unsolicited, commercial advertising or solicitations
via e-mail (spam); or
(2) enable high volume, automated, electronic processes that
apply to Paycenter or its systems.
Paycenter reserves the right to modify these terms at any time.
By submitting this query, you agree to abide by this policy.!

Registrar:XINNET TECHNOLOGY CORPORATIONとあるので、中国系の企業がこのフィッシングサイトをやっている????ということなんだろうか…

何にせよ2019年4月に取ったドメインが郵便局のページとして使われるわけもないし、中国っぽすぎて絶対に騙されてはいけなさそう。

ページのコンテンツ自体は本物からパクってきたものらしくて騙されそうになってしまうが。

とりあえず、今後の解析目的で怪しげなアプリのダウンロードまで済ませたので、いろいろ手探りで解析をやってみる。

当然ですが、、、、

もうGoogle Chromeとかを使ってアクセスしようとすると警告が出てくるようになってしまった。

明らかなフィッシングなので引っかかるようなこともないとは思いますが、見に覚えのない怪しげなサイトにアクセスしない、何らかの手段でスパム通報するのがよいです。