知らない人から「DHLの発送状況です: アクションが必要」というフィッシングメールがきた「フィッシングサイトはSMSコードを2度確認する」
概要
更新履歴
- 2024/03/27 初版
目次
はじめに
このドキュメントはDHLを騙るフィッシングメールを調査した結果を掲載する. DHLを騙るタイプは2023年1月に「Delivery incident T673375 というDHLを騙るフィッシングメール」として調べているが,今回のものとは系統が違う.今回はフィッシングメールはドイツのホスティング会社の所有するIPアドレスから送信されており,侵害されたタイの学校のサイトを踏み台として,フィッシングサイトに誘導しており,CloudFlareを経由するという複数の国を跨ぐので追跡が面倒なタイプ.
そして少額の決済をさせてクレジットカード情報を摂取しようとしているが,クレジットカード会社に通信して確認しているふりをして,SMSに番号が送ら れてきた感じになっているが,出鱈目な対応をしても通過したので,実際には何もしてないことが確認できた.「フィッシングサイトは2度確認する」
メールの確認
受信したメールとメールヘッダを確認
- 受信したメールはこのようなもの.
お客様へ
保留中の出荷についてお知らせいたします。 この貨物には通関手続きが必要です、 そして、それに伴う料金が発生する。
$1.99の税金は、当社のウェブサイトを訪問し、提供された手順に従ってオンラインでお支払いいただけます。
情報を更新
重要なお知らせ: 配達の試みが不成功である場合、出荷は送り主に返送されます。
よろしくお願い申し上げます。
DHL EXPRESS チーム
- 今現在,うちはDHLから送られてくる荷物の予定は無い.
- 誘導先のトップレベルドメインはTHなのでタイ王国になる.
- メールヘッダを確認
- メールの送信サーバはドイツのホスティング会社Fasthosts Internet Limitedを利用している.
- 送信者のドメインは老舗っぽい名前.
誘導先のFQDNを調べる
- 誘導先のURLからドメイン直下のにブラウザで接続する.
- NANGRONG SCHOOLとなっている.
- whois情報を確認.
$ whois nangrong.ac.th🆑
Whois Server Version 2.1.7
Domain Name: NANGRONG.AC.TH
Registrar: THNIC
Name Server: NS172.BIZQSOFT.COM
Name Server: NS171.BIZQSOFT.COM
DNSSEC:
unsigned
Status:
ACTIVE
Updated date: 03 Jan 2023
Created date: 02 Oct 2005
Exp
date:
01 Oct 2026
Domain Holder Organization: Nangrong School ( โรงเรียนนางรอง )
Domain Holder Street: Personal Information*
Domain Holder Country: TH
Tech Contact: Personal Information*
Tech Organization: Personal Information*
Tech Street: Personal Information*
Tech Country: Personal Information*
>>> Last updated on Wed, 27 Mar 2024 10:17:57 UTC+7 <<<
- 2005年から使われている学校のドメインの模様.
- Web Archiveを確認してみる.
- 何らかの脆弱性によりトロイの木馬が埋め込まれた模様.
messages.comというメール送信ドメインを調べる
- 最初にwhois情報の確認.
$ whois messages.com🆑
Domain Name: MESSAGES.COM
Registry Domain ID: 1189033_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.dynadot.com
Registrar URL: http://www.dynadot.com
Updated Date: 2023-03-03T00:39:07Z
Creation Date: 1995-05-03T04:00:00Z🈁
Registry Expiry Date: 2032-05-04T04:00:00Z
Registrar: Dynadot Inc
Registrar IANA ID: 472
Registrar Abuse Contact Email: abuse@dynadot.com
Registrar Abuse Contact Phone: +16502620100
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: NS1.PARKINGCREW.NET🈁
Name Server: NS2.PARKINGCREW.NET
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
>>> Last update of whois database: 2024-03-27T03:30:27Z <<<
- 最初は1995年に登録されているが,現在はドメインパーキング
- で管理されている模様.
- Webブラウザでアクセスすると次のようになる.
- メールサーバを調べる.
- まずはMXレコード.
$ dig mx messages.com🆑
; <<>> DiG 9.10.6 <<>> mx messages.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47965
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;messages.com. IN MX
;; ANSWER SECTION:
messages.com.
3600 IN MX 5
mail.h-email.net.🈁
;; Query time: 28 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Mar 27 12:31:44 JST 2024
;; MSG SIZE rcvd: 73
$
- ホスト名がわかったのでIPアドレスを調査.
$ dig mail.h-email.net🆑
; <<>> DiG 9.10.6 <<>> mail.h-email.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40637
;; flags: qr rd ra; QUERY: 1, ANSWER: 10, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;mail.h-email.net. IN A
;; ANSWER SECTION:
mail.h-email.net. 105 IN A 165.227.159.144
mail.h-email.net. 105 IN A 178.62.199.248
mail.h-email.net. 105 IN A 5.161.98.212
mail.h-email.net. 105 IN A 165.227.156.49
mail.h-email.net. 105 IN A 5.75.171.74
mail.h-email.net. 105 IN A 49.13.4.90
mail.h-email.net. 105 IN A 167.235.143.33
mail.h-email.net. 105 IN A 5.161.194.135
mail.h-email.net. 105 IN A 162.55.164.116
mail.h-email.net. 105 IN A 91.107.214.206
;; Query time: 11 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Mar 27 12:32:04 JST 2024
;; MSG SIZE rcvd: 205
$
- このIPアドレスをを調べると,DigitalOceanというドイツのホスティング業者の模様.
- ドメイン情報を確認.
$ whois h-email.net🆑
Domain Name: H-EMAIL.NET
Registry Domain ID: 1879437448_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.registrar.amazon.com
Registrar URL: http://registrar.amazon.com
Updated Date: 2023-09-04T00:19:03Z
Creation Date: 2014-10-08T16:16:38Z🈁
Registry Expiry Date: 2024-10-08T16:16:38Z
Registrar: Amazon Registrar, Inc.🈁
Registrar IANA ID: 468
Registrar Abuse Contact Email: abuse@amazonaws.com
- このドメインで調べると,次のような解説ページが頻繁に出てくる.
- メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?
- https://scan.netsecurity.ne.jp/article/2023/07/26/49726.html
- 一時話題になったやつで利用されているもののよう.
誘導先サイトのverified.asiaにアクセスしてみた
- メールのリンクにあったサイト(タイ王国の学校のドメイン)にアクセスしたら,次のようなサイトに転送された.
- 本物のDHLのサイトを見たことがないが,ちゃんとそれっぽい画面が構成されている.
- LITTLE NECKとは,ニューヨークのクイーンズにある街の模様.
誘導されたサイトのドメインを外部の評価サイトを使って検査
- まずはWeb Pluse.
- 次に,VirusTotal.
- どちらも素性は良くない模様.
配達再開してみる(フィッシングサイトにアクセスしてみる)
- 荷物保護センター?から出荷するようにしてみる.
- いつもような普通に個人情報を要求してくる.
- 出鱈目な情報を入力.
- そしてこのような画面が.
- SMSを送ってきたような感じなので,何かの数値を入力.
- 考えている(ように見える)
- もう一度同じ数値を入力.
- なぜか正常に確認された模様.