ブログ - スミッシングのURLがUnicodeだった件の解析結果
以前うちにも来たお客様が不在の為お荷物を持ち帰りました。こちらにてご確認ください というSMS.
誘導先のURLがUnicodeなのでPCで調査しても誘導先にアクセスできないで終わったんですが,より深く解析した人がおられました.(尊敬)
自分の理解のために紐解いてみます.
誘導先のURLがUnicodeなのでPCで調査しても誘導先にアクセスできないで終わったんですが,より深く解析した人がおられました.(尊敬)
自分の理解のために紐解いてみます.
A “𝙨t𝙧a𝗇𝗀e 𝙛o𝙣𝗍” Smishing that changes behaviour based on User-Agent, and abuses Duck DNS
https://medium.com/@LambdaMamba/a-strange-font-smishing-that-changes-behaviour-based-on-user-agent-and-abuses-duck-dns-1c1a45863ff7
・奇妙なリンクは,UAをチェックしてUAと一致するフィッシングサイトにリダイレクト
・被害者のIPが日本の場合だけ奇妙なリンクが読み込まれる
・Androidの場合,Chrome.apkに偽装したマルウェアをダウンロードされる
・iPhoneの場合,iCloudのユーザ&パスワードを搾取するAppleの偽のログインサイトに誘導する
このサイトで紹介されているHTMLコードを見ると,String.fromCharCode()関数が使われていて,これはUTF-16のコードから文字列を生成する機能だとのこと.
サンプルのHTMLを保存してブラウザでアクセスするとこの感じ.
AndroidはGoogle Play ストア以外からのダウンロードができるから,こういうリンクでマルウェアのapk(アプリケーションパッケージ)をインストールさせ,iPhoneの場合はApp Storeにマルウェアを置きにくいからアカウントを直接盗むということなのね.
勉強になりますね.
引用:
https://medium.com/@LambdaMamba/a-strange-font-smishing-that-changes-behaviour-based-on-user-agent-and-abuses-duck-dns-1c1a45863ff7
・奇妙なリンクは,UAをチェックしてUAと一致するフィッシングサイトにリダイレクト
・被害者のIPが日本の場合だけ奇妙なリンクが読み込まれる
・Androidの場合,Chrome.apkに偽装したマルウェアをダウンロードされる
・iPhoneの場合,iCloudのユーザ&パスワードを搾取するAppleの偽のログインサイトに誘導する
このサイトで紹介されているHTMLコードを見ると,String.fromCharCode()関数が使われていて,これはUTF-16のコードから文字列を生成する機能だとのこと.
サンプルのHTMLを保存してブラウザでアクセスするとこの感じ.
AndroidはGoogle Play ストア以外からのダウンロードができるから,こういうリンクでマルウェアのapk(アプリケーションパッケージ)をインストールさせ,iPhoneの場合はApp Storeにマルウェアを置きにくいからアカウントを直接盗むということなのね.
勉強になりますね.
引用:
スミッシング【smishing】
スミッシングとは、スマートフォンなどのSMS(ショートメッセージサービス)を悪用したフィッシング詐欺。“SMS” と “phishing” を組み合わせた造語で、受信者に有名企業などの偽サイトへ誘導し、本物のサイトで使っているパスワードなどを詐取するといった攻撃を仕掛ける手法。
