初めに
この半年で二度ほど、宅配系 SMS版 phishing が手元に届いた。事例ご紹介。
「お荷物のお届けにあがりましたが不在の為持ち帰りました。ご確認ください」で始まり、その後にリンクが有る(実際に届いたのは下図)。
赤色下線部がいかにも怪しい。
対処手順(案)
- 上図様のSMSが届いたら、怪しくなくても、リンクだけはクリックしないように自分に言い聞かせつつ、一呼吸おいてから次へ
- 宅配の覚えが無い場合、さらに警戒レベルを上げつつ次へ
- ドメイン(上図赤線)を見て、クロネコヤマトとか郵便局とか有名業者じゃなかったらsmishing確定とみて無視して良いだろう。あるいはドメインで(今回は「duckdns.org 荷物」で)ググってもsmishingと確信できる。
- どうしても確かめたい場合や、良く分からない場合は、送信者の電話番号(上図、黄色枠)に、頭に184を付けてからコールする(こちらの電話番号が相手には「非通知(非表示)」扱いになる)。この場合、こちらの身元はなるべく名乗らず、出来れば出身地と無関係の地方訛りも加えつつ、状況確認に徹する。また、相手もマルウェアの被害者の可能性が高いので、いきなり犯人扱いは禁物。多分、相手も「どうやら感染させられたようで、同様の問い合わせが多い」と言うだろう。
おまけ
もう少し調べてみた。
- CDからOSを起動して(HDDにはアクセス不可なVMで)上記のURLのサイトにアクセスしてみた。
- smishing メッセージ受信直後は
.apt.apk ファイルをダウンロードできた。このファイルは、Virus Total でRATと判定された。 - 10/18現在は、FFで下図の真っ赤な画面になる。なおも進んでも「アクセスできない(time out)」と表示されて終わり。
- 該当URLを下記リンク先で紹介している「Webスキャナー」で調べて優劣を比べてみるのも良い。
https://akasaka-taro.blogspot.com/2018/07/emotet-web-scanner.html
- 当時「duckdns.org」は、その手の配布用ドメインなのかも。思いつくままホスト名を2, 3 適当に打ち込んで、たまたま存在したホストはどれもマルウェアサイトということになっていた
No comments:
Post a Comment