佐川急便を語る怪しいメッセージが届いた件。調べたら詐欺でした
ある日昼下がりの午後。
ランニングをして、気持ちよく部屋に帰ると1通のメッセージが届きました。
「お客様にお荷物のお届けに上がりましたが、不在の為持ち帰りました。下記よりご確認ください。 http://sagawa-udi.com」
知らない電話番号から届いているSMS(ショートメッセージサービス)のようです。
佐川急便の荷物がどうやらランニング中に届いたらしく、不在の為持ち帰ったらしい。なにか通販で頼んだ覚えはないが、ふるさと納税が届いたのかもしれん。まだ近くにいるなら、届けてほしいところ。
前回なぜか自分あての荷物が手元に来ず、返送されたことがある・・またかと思って、疑うことはありませんでした。
しかし・・このメッセージなんかおかしいぞ・・
佐川急便・・?ではなくニセモノ疑惑
そもそもショートメッセージでくるのがおかしい。
佐川の運ちゃんが自分の携帯で送ったんやろか。佐川も人手不足なのか、雑な不在通知やな。
URLもsagawa-udiとある。なんか本物っぽい。
URLをクリックすると、荷物追跡サービスに飛ぶのかな?
クリックしてみる。
ん?
トップページ?
このページに飛ばされて、俺はどうすればいいんだ?お荷物番号とか知らんぞ?
この辺りから、なんかおかしいと気が付き始めました。
すると、ちょうど部屋にいた同居人から助言が。
「最近佐川急便を名乗る詐欺メールが多いって、テレビで言ってましたよ」
まじか!
もしかして、そのテレビで言ってたやつきたか!
確かにググったら佐川急便がご注意くださいと、アナウンスしてる!
(このURLは安全です)
お知らせ:佐川急便を装った迷惑メールにご注意ください
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/
ガクガク(((( ̄□ ̄;)))))ブルブル
本物のサイトと比較してみる
本物サイトと偽物サイトを比較してみよう。
見た目は若干似てる。
というか偽物サイトはPCサイトを表示してるようで、スマホ用に最適化されていない。
ちなみにPCで本物サイトをPCで開くと、こんな感じ。
あらま、偽物サイトにそっくり!
本物サイトでは「佐川急便を装ったメールにご注意ください」と上部に表示されている。(当然偽物サイトにはない)
怪しいサイト(sagawa-ipa.com)をPCで開いてみる
パソコンのFirefoxで開いてみることにしました。
(怪しいサイトと思ったら、むやみに開いてはいけません!!)
iPhoneのSafariだと開けたページが、Firefoxだと詐欺サイト警告!!
やっぱり詐欺サイトだったんや!!
てかSafari警告出して!!
てか、よくみたらURLがいつのまにか、
sagawa-udi.com
ではなく、
sagawa-ipa.com
になってる・・
リダイヤルされてる?
考えてみれば、日本の一部上場企業が.comなんて使わんよな・・本物サイトは審査が厳しいco.jp。
jpドメインの安心感は世界一ィィィ!!
Firefoxだと先に進めないので、Google chromeで開いてみる。
普通に開いた。
大丈夫か!? クローム!!?
サイトを見渡しているとふと気づいた。
リンクが全部同じ!
「お問い合わせ」も「荷物追跡サービス」も、はたまた「ホームボタン」までも!!
なんじゃこりゃ!!!
そして飛ぶ先は
Apple社から送られた製品はセキュリティ
許可の認証が必要となります。
Apple ID:
パスワード:
IDどころかパスワードまで要求するのはおかしいやろ・・
てかchromeなのに、なぜApple?
そこでふと気づいた。
今見てるのは、sagawa-udi.comと思ったら、なぜか飛ばされたsagawa-ipa.com。
これはiPhoneで開いたから、リダイヤルして飛ばされたと思われる。
つまりiPhone用のサイトなのだ。
ユーザーエージェントを見ているのだろう。
そのURLをPCで直打ちしたから、なぜかクロームでApple認証がどうとかでたのだろう。
sagawa-udi.comという怪しいURLも検証してみる
つまり・・sagawa-udi.comはAndroidだとリダイヤルされずに開くと思われる。ちなみにandroidは持っていない。
ドキドキしてFirefoxで開いてみた。
次のファイルを開こうとしています。sagawa.apk
URLを入力したら、なんかウィンドウが開いたぞ!!
どうやらapkファイルをダウンロードしようとしている。
apkファイルとは(wikipediaより)
APK (Android application package、アンドロイドアプリケーションパッケージ、エーピーケー )とは、Googleによって開発されたAndroid専用ソフトウェアパッケージのファイルフォーマットである。
Android用のインストーラーのようですな。
これをAndroidで開いたら、なんかろくでもないことが起こりそうだ
sagawa-udi.comはこんな感じ。
うーーーーむ
画像が表示されてこない・・
下にスクロールしても、画像がない・・
なんか不安になる。
こういうのって、本物そっくりに作るものじゃないのか?
sagawa-ipa同様にリンク先が全部同じかと思いきや
なぜか本物サイトへのリンク。他のリンクも本物サイトのそれぞれの位置へとぶようになっている。
親切だなぁと思いつつ、「貨物追跡サービス」のリンク先を見てみると・・
しっかりと悪意のありそうなapkをダウンロードさせようとしてくる。
ちなみにchromeでsagawa-udiを開こうとすると
警告が出ました。ブラウザの警告ってよく分からん。
ソースコードを見てみる
sagawa-udi.comのソースコードを見てみると、上の方にjavascriptがありました。
if (browser.versions.mobile && !browser.versions.android) {
this.location = "http://sagawa-ipa.com/";
}
</script>
<script type="text/javascript">
function kk(){
//alert("速達便をダウンロードされますので、ダウンロード後にインストールしてください");
window.location.href = "./sagawa.apk";
上のif文でandroidかどうか判定して、違ったらsagawa-ipa.comに飛ばすわけですな。
下のfunction kkはなんかパッケージをダウンロードしようとしたときに表示される警告文のようですな。
怪しいサイトとapkをVirusTotalに投げてみる
怪しいサイトを検証してくれる便利サイト「VirusTotal」
まずは、sagawa-ipa.comから
9/67
かなりブラックな判定。ちなみに普通のサイトは 0/67 になります。
次にsagawa-udi.com
4/67
これまたヤヴァイ。
そしてお待ちかね。sagawa.apkです。
21/67
ガクガク(((( ̄□ ̄;)))))
なんじゃこの真っ黒なパッケージは!
怪しいと思ったらクリックするな
調べてみれば不審点しかないけど、初見でくると見破るのは難しいと思います。
普通URLとかみないし。
ただ先に進んでいるうちに、気づくポイントはけっこうありました。
おかしいと思ったら、すっと閉じれば被害はないと思います。
ディスカッション
コメント一覧
はじめまして、今日まさに佐川急便を装ってきたメールのURLを開いてしまったものです。
ちなみにandroidになります。
管理人様がiPhoneなのを承知でお尋ねするのですが、
androidで偽サイトをアクセスしてしまったときに端末の方で「この種類のファイルはお使いのデバイスに悪影響を与える可能性があります。sagawa7.4.8.apkを保存しますか?」と聞かれ
ちょっと怪しいと思いバックボタンで戻ったのですが、この場合も勝手にインストールされている場合があるということでしょうか?ちょっと気が動転してしまって記憶が飛んでしまって・・(情けない)
ちなみにPCでも同様にそのURL(偽佐川サイト)を開いてしまいました。
こちらも閲覧しただけで特にどこもクリック等してませんが、ネットに疎いもので
個人情報が盗まれていないかひやひやしております。
もしお分かりでしたらご協力をお願いしたいです。
よろしくお願いいたします。
andoroidはapkを保存してインストールしていないなら大丈夫だと思います。
PCも大丈夫だと思いますが、不安でしたらウィルス対策ソフトを最新の状態にしてPCをフルスキャンしてみるとよいと思います。
ご丁寧にありがとうございました!
他の記事も参考にさせていただきます。
(アマゾンの当選記事など興味深く拝見させていただきました。)