ASEC 分析チームは、様々な企業を騙るフィッシングサイトを紹介してきた。最近では海外サイトからの直接購入が最盛期を迎え、運送会社である Emirates Post を騙る不正なメールが出回っていることを確認した。
出回っている不正なメールは以下の通りであり、メール本文には配送先住所に問題があるため、購入者に確認および返品を要請するという内容を使用している。当該メール内の「Tracking Number」と「Click Here」に不正なリンクが添付されており、そのリンクはフィッシングサイトに接続される。また、当該リンクは24時間以内に期限が満了するというメッセージを利用し、ユーザーがリンクをクリックするように誘導している。
メール内に添付されているリンクのアドレスは、以下の通りである。不正なサイトのアドレスは正常な Emirates Post の Web サイトのアドレスに似せて製作されていることが確認でき、ユーザーは正常なサイトと勘違いする可能性があるため、特に注意が必要である。
- hxxps://emirates-ae-post-shipping.com/ (不正)
- https://emiratespost.ae (正常)
フィッシングサイトに接続すると、以下のように Emirates Post の Web サイトに偽装したページを確認することができ、配送状況を確認するためにユーザーの電話番号を入力するよう誘導している。
当該ページでユーザーの電話番号を入力してから Continue ボタンをクリックすると、以下の url にリダイレクトする。リダイレクトされたページでは、入力した電話番号に送信された4桁の数字を入力するよう誘導している。この時、いかなる数字を入力しても次のページに移動することを確認した。
- hxxps://emirates-ae-post-shipping.com/smsphone2.php
その後、データ入力を完了して Confirm ボタンをクリックすると、以前と同じ形式でユーザー情報を追加入力するページにリダイレクトする。以下の画像とアドレスは、データ入力後にボタンをクリックしてリダイレクトされるページを順番に示している。ユーザーの住所とカード情報を順番に入力するよう誘導していることが確認できる。
- hxxps://emirates-ae-post-shipping.com/index4.php
- hxxps://emirates-ae-post-shipping.com/index2.php
最終的にリダイレクトするページは以下の通りであり、ユーザーの電話番号に送信されたコードを入力させようとする。
- hxxps://emirates-ae-post-shipping.com/sms.php
最近は海外サイトからの直接購入が最盛期を迎え、配送に関する文章を含む不正なメールの拡散が増加しており、ユーザーのカード情報まで流出することで金銭的被害が発生する恐れがある。ユーザーは、出どころが不明なメールは添付ファイルおよびメールに含まれる url を実行しないようにしなければならない。
[関連 IOC 情報]
- hxxps://emirates-ae-post-shipping.com/
- hxxps://emirates-ae-post-shipping.com/smsphone2.php
- hxxps://emirates-ae-post-shipping.com/index4.php
- hxxps://emirates-ae-post-shipping.com/index2.php
- hxxps://emirates-ae-post-shipping.com/sms.php
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報