enchanのメモ書き

計算機とフリルとラブライブ!

架空請求が来たので踏んでみた

昨日の夜中に、こんなiMessageが届いていました。

いわゆる架空請求の類です。

そして、今日の午後にも似たようなものが。

非常に文体が似ていて興味が湧いたので(ぇ、興味本位でこのURLを踏んでみることにしました。

注意 架空請求で送られてくるURLは基本的に怪レいかマジでヤバいかのいずれかである確率が非常に高いです。絶対に真似しないでください。
この記事を真似したことにより生じたいかなる損害において、私Enchanはその責任を負いません。

踏んでみよう

架空請求① 検証

まずは一つ目から。URLは ttps://bit[.]ly/3Aodlbv です。

#curl -i ttps://bit[.]ly/3Aodlbv

-> 301 Location: ttp://cmzecogmfs[.]duckdns[.]org

初手duckdnsです。もはや詐欺の王道パターンと言っても過言ではないでしょう。

# curl -i ttp://cmzecogmfs[.]duckdns[.]org

<html>
<head>
    <meta charset="utf-8">
    <title></title>
</head>
<body>


    <script>
        if(navigator.userAgent.match(/(iPhone)/i)){
               document.location.href = "ttp://dobomobk[.]xyz";
        } else if (navigator.userAgent.match(/(Android)/i)) {

            document.location.href = "k[.]html";
        }
    </script>
</body>
</html>

簡単なHTMLが出てきました。
iPhoneだとまた別の怪レいドメインAndroidだとk.htmlに飛ぶようです。

iPhone向け

まずはiPhone向けのドメインに飛んでみます。

# curl -i ttp://dobomobk[.]xyz
-> 中略 301 Location: ttps://dobomobk[.]xyz/index[.]html
<!doctype html>
<html>
<head>
    <meta charset="utf-8">
    <title>ただいまメンテナンス中です</title>
    <style>
    (中略)
    </style>
</head>
<body>
    <div class="container">
        <h1>ただいまメンテナンス中です。</h1>
        <ul>
            <li>大変、申し訳ございません。</li>
            <li>ただいまシステムメンテナンス中のため、弊社ホームページの一部サービスがご利用頂けません。</li>
            <li>お客さまにはご不便をおかけいたしますが、何卒ご理解いただきますようお願い申し上げます。</li>
        </ul>
    </div>
</body>
</html>

大丈夫そうだったので(自分基準)保存して開いてみました。何度も言いますが真似してはいけません。

iPhone版

どこかのメンテナンスページをコピったもののようにも見えます。どこかはわかりません。

Android向け

次にAndroidこっちがやばかった。 全部を公開すると万が一何かあった時に怖いので個人的な基準で一部無毒化して引用します。フグか何かか?

# curl -i ttp://cmzecogmfs[.]duckdns[.]org/k[.]html

...
<div class="modal-body">
    <div class="icon"> ! </div>
    <h3 class="title">システム警告!</h3>
    <p class="description">マルウェアが検出されました</p>
    <button class="subscribe" id="subscribe">スキャン</button>
    <div class="skya-btn">
    </div>
</div>
...

...
<div class="list">
    <div class="top">
        <img src="....">
        <div class="msg">
            <span class="sm-tit yellow">アップグレード</span>
            <span class="tit">セーフウェブ</span>
            <p>セーフウェブは、ブラウザーと連動して危险なサイトやリンクをブロックし、個人情報の窃盗ヤウイルス感染を未然に防ぎます。</p>
        </div>
        <div class="clear"></div>
    </div>
    <a href="....">有效にいる</a>
</div>
...

ウヒョーこいつぁーすげぇや!(発作) といった感じ。よく見るいつものアレです。有效危险 などの簡体字が混じっている点が非常に怪レい…()

…20行目付近に不思議なscriptがありました。

src="ttps://js[.]users[.]51[.]la/21143359[.]js"

.laというのはどうやらラオスccTLDのようです。

ja.wikipedia.org

このドメインは、"LA"を略称とするアメリカ合衆国ルイジアナ州やロサンゼルス市で使用されている[5]。.laドメインの公式サイトには、"The Internet Address For Los Angeles"(ロサンゼルスのためのインターネットアドレス)と書かれている[6]。
.laドメインはフランス語や中国語のドメインハックにも使用されている。làは、フランス語、イタリア語やその他のロマンス語において、英語の"there"に相当する単語である。「啦」(ピン音:la)は、北京語や広東語の文末やフレーズによく使われる心態詞(英語版)である。

…ということなのですが、URLをみる限りドメインハックの類ではなさそう… ちょっとコワいです。

ソースに書かれていたもう一つのリンクも辿ってみました。

# curl -i ttp://kjvdnscybb[.]duckdns[.]org

<!DOCTYPE html>
<html lang="ja">
<head>
...
    <meta name="description" content="NTTセキュリティインストール 手順">
    <meta name="keywords" content="NTTセキュリティインストール 手順">
    <title>NTTセキュリティインストール 手順 | お知らせ | NTTドコモ</title>
...
</head>

うわあ。 NTTドコモさんのページを改竄して使用しているようです。

<section class="sec-cmn-lv2" id="anc01">
    <h2 class="tit-cmn-lv2">NTTセキュリティインストール 手順</h2>
    <section class="sec-cmn-lv3">
        <h3 id="anc01-01" class="tit-cmn-lv3">1:Android<sup class="s-sup">TM</sup>端末の設定変更</h3>
        <p class="s-mb-10">(Android<sup class="s-sup">TM</sup> 8.0未満をご利用の場合)<br>
            「設定」の「セキュリティ」で「提供元不明のアプリのインストールを許可する」で、「許可する」を選択</p>
        <figure><span class="img-cmn-wrap"><img class="s-w-m596-smt"
                    alt="端末の設定を開き、「ロック画面とセキュリティ」※1をタップ→「提供元不明のアプリ」が有効になっている場合、タップ※2→「提供元不明のアプリ」が無効となっていることを確認"
                    src="jc_files/1[.]jpg"></span></figure>
        <ol class="list-cmn-notes s-no-count">
            <li data-count="1">
                <div class="s-ftbox">機種によっては「セキュリティ」と表示される場合があります。</div>
            </li>
            <li data-count="2">
                <div class="s-ftbox">機種によっては「情報セキュリティ」という項目をタップしないと、提供元不明のアプリの設定が表示されない場合があります。
                </div>
            </li>
        </ol>
        <p>(Android<sup class="s-sup">TM</sup> 8.0以降をご利用の場合)<br>
            「設定」の「アプリ情報」から「Chrome」アプリを選定し、「不明なアプリのインストール」で、「許可する」を選択</p>
        <figure><span class="img-cmn-wrap"><img class="s-w-m596-smt"
                    alt="端末の設定を開き、「アプリと通知」をタップ→「アプリ情報」をタップ→「Chrome」アプリをタップ" src="jc_files/img_02[.]gif"></span></figure>
        <figure><span class="img-cmn-wrap"><img class="s-w-m596-smt"
                    alt="不明なアプリのインストールが「許可」の場合、タップ※「許可しない」の場合、以降の操作は不要です→「この提供元を許可する」をタップ→設定が無効になったことを確認"
                    src="jc_files/photo_2021-05-13_17-20-13[.]jpg"></span></figure>
    </section>
    <section class="sec-cmn-lv3">
        <h3 id="anc01-01" class="tit-cmn-lv3">2:アプリのダウンロード</h3>
        <figure><span class="img-cmn-wrap"><img class="s-w-m596-smt"
                    alt="端末の設定を開き、「ロック画面とセキュリティ」※1をタップ→「提供元不明のアプリ」が有効になっている場合、タップ※2→「提供元不明のアプリ」が無効となっていることを確認"
                    src="jc_files/4[.]jpg"></span></figure>
        <section class="sec-cmn-lv3">
            <h3 id="anc01-01" class="tit-cmn-lv3">3:アプリのインストール</h3>
            <figure><span class="img-cmn-wrap"><img class="s-w-m596-smt"
                        alt="端末の設定を開き、「ロック画面とセキュリティ」※1をタップ→「提供元不明のアプリ」が有効になっている場合、タップ※2→「提供元不明のアプリ」が無効となっていることを確認"
                        src="jc_files/5[.]jpg"></span></figure>
            <figure><span class="img-cmn-wrap"><img class="s-w-m596-smt"
                        alt="端末の設定を開き、「ロック画面とセキュリティ」※1をタップ→「提供元不明のアプリ」が有効になっている場合、タップ※2→「提供元不明のアプリ」が無効となっていることを確認"
                        src="jc_files/7[.]jpg"></span></figure>
        </section>
    </section>
</section>

提供元不明のアプリのインストール」を許可させようとしてきています。怖っ。
画像系も落としてみたかったのですが、流石に怖かったのでやめました。

なお、「NTTセキュリティインストール」なる製品およびサービス、アプリケーションは存在しないようです(類似の名称のものはありましたがそのものズバリなページは発見できず)。
怖いなぁー怖いなぁー

ダウンロードリンクにあたるdown.htmを読んでみると…

# curl -i ttp://kjvdnscybb[.]duckdns[.]org/down[.]htm

...
<div class="info-box">
    <div class="clear"></div>
    <div class="top">
        あんしんセキュリティ
    </div>
    <div class="middle">
        株式会社NTTドコモ
    </div>
    <div class="bottom">
        <a class="download-btn" href="Nttドコモセキュリティ[.]apk">
            ダウンロード
        </a>
    </div>
</div>
...

.apkファイルのお出ましです。ついにきたか。
(うっかりURLをペーストしたせいでhatenablogがプレビューを出そうとしてきました。やめてくれ。)

さっきからずっと.laドメインscriptがいるのも怖いです。正直生半可なお化け屋敷の数倍怖い。

バージョン情報も出てきました。

<div class="detail ">
    <div class="btitle margin-top30">
        バージョン情报
    </div>
    <div class="info-txt">
        NTTセキュリティ モバイル セキュリティは、最上位のモバイルセキュリティツールです。NTTセキュリティでモバイルモバイル端末の安全対策やプライバシー保護を徹底し、安心のモバイルライフを送りましょう。
    </div>
</div>

モバイルって言いたいことは伝わってきます。 それっぽい名前ですが、やはり実在しないアプリケーションのようです。

架空請求① 検証結果

  • iPhoneからアクセスした場合は謎のメンテナンスページに飛ぶようです。IP抜かれてるとかその辺はわかりません
  • Androidからアクセスすると改竄済みのNTTドコモのページに飛び、怪レいapkファイルを落とそうとしてきます。危険です。

架空請求② 検証

もうなんかお腹いっぱいですが、せっかく架空請求業者が私にプレゼントしてくれたURLです。
しっかり見ていきましょう。URLは ttps://bit[.]ly/3lEcT2r です。

# curl -i ttps://bit[.]ly/3lEcT2r
-> 301 Location: ttp://kwqoorirkc[.]duckdns[.]org

...
<title>没有找到站点</title>
...

うわああ。怖い!!中国語怖い!!(失礼

夜中にやるもんじゃないです。まじで怖い。
ちなみに翻訳すると Site not found です。 404やないかい。

架空請求② 検証結果

  • サーバは200を返すが中身は404ページ。jsも画像読み込みもなく本当にただの404ページです。

所感

…というわけで、今日は架空請求を踏んでみました。(謎
ちょっと2つ目が締まらない感じで終わってしまったのが残念ですが、インターネットの海とはこういうものなのかもしれません。

(記事内に有効なURLが残ってしまっていないか調べるのが非常に大変でした)

apkファイル落としに来るのは本当に怖かった。