佐川急便を語る怪しいメッセージが届いた件。調べたら詐欺でした

ある日昼下がりの午後。
ランニングをして、気持ちよく部屋に帰ると1通のメッセージが届きました。

「お客様にお荷物のお届けに上がりましたが、不在の為持ち帰りました。下記よりご確認ください。 http://sagawa-udi.com」

知らない電話番号から届いているSMS(ショートメッセージサービス)のようです。

佐川急便の荷物がどうやらランニング中に届いたらしく、不在の為持ち帰ったらしい。なにか通販で頼んだ覚えはないが、ふるさと納税が届いたのかもしれん。まだ近くにいるなら、届けてほしいところ。

前回なぜか自分あての荷物が手元に来ず、返送されたことがある・・またかと思って、疑うことはありませんでした。

しかし・・このメッセージなんかおかしいぞ・・

佐川急便・・?ではなくニセモノ疑惑

そもそもショートメッセージでくるのがおかしい。

佐川の運ちゃんが自分の携帯で送ったんやろか。佐川も人手不足なのか、雑な不在通知やな。

URLもsagawa-udiとある。なんか本物っぽい。

URLをクリックすると、荷物追跡サービスに飛ぶのかな?
クリックしてみる。

ん?
トップページ?

このページに飛ばされて、俺はどうすればいいんだ?お荷物番号とか知らんぞ?

この辺りから、なんかおかしいと気が付き始めました。

すると、ちょうど部屋にいた同居人から助言が。

「最近佐川急便を名乗る詐欺メールが多いって、テレビで言ってましたよ」

まじか!
もしかして、そのテレビで言ってたやつきたか!

確かにググったら佐川急便がご注意くださいと、アナウンスしてる!
(このURLは安全です)

お知らせ:佐川急便を装った迷惑メールにご注意ください
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/

ガクガク(((( ̄□ ̄;)))))ブルブル

本物のサイトと比較してみる

本物サイトと偽物サイトを比較してみよう。

本物のサイト
偽物サイト

見た目は若干似てる。

というか偽物サイトはPCサイトを表示してるようで、スマホ用に最適化されていない。

ちなみにPCで本物サイトをPCで開くと、こんな感じ。

あらま、偽物サイトにそっくり!

本物サイトでは「佐川急便を装ったメールにご注意ください」と上部に表示されている。(当然偽物サイトにはない)

怪しいサイト(sagawa-ipa.com)をPCで開いてみる

パソコンのFirefoxで開いてみることにしました。

(怪しいサイトと思ったら、むやみに開いてはいけません!!)

iPhoneのSafariだと開けたページが、Firefoxだと詐欺サイト警告!!

やっぱり詐欺サイトだったんや!!
てかSafari警告出して!!

てか、よくみたらURLがいつのまにか、

sagawa-udi.com

ではなく、

sagawa-ipa.com

になってる・・

リダイヤルされてる?

考えてみれば、日本の一部上場企業が.comなんて使わんよな・・本物サイトは審査が厳しいco.jp。

jpドメインの安心感は世界一ィィィ!!

Firefoxだと先に進めないので、Google chromeで開いてみる。

普通に開いた。

大丈夫か!? クローム!!?

サイトを見渡しているとふと気づいた。

リンクが全部同じ!

「お問い合わせ」も「荷物追跡サービス」も、はたまた「ホームボタン」までも!!
なんじゃこりゃ!!!

そして飛ぶ先は

Apple社から送られた製品はセキュリティ 
許可の認証が必要となります。
Apple ID:
パスワード:

IDどころかパスワードまで要求するのはおかしいやろ・・
てかchromeなのに、なぜApple?

そこでふと気づいた。
今見てるのは、sagawa-udi.comと思ったら、なぜか飛ばされたsagawa-ipa.com。
これはiPhoneで開いたから、リダイヤルして飛ばされたと思われる。
つまりiPhone用のサイトなのだ。
ユーザーエージェントを見ているのだろう。

そのURLをPCで直打ちしたから、なぜかクロームでApple認証がどうとかでたのだろう。

sagawa-udi.comという怪しいURLも検証してみる

つまり・・sagawa-udi.comはAndroidだとリダイヤルされずに開くと思われる。ちなみにandroidは持っていない。

ドキドキしてFirefoxで開いてみた。

次のファイルを開こうとしています。sagawa.apk

URLを入力したら、なんかウィンドウが開いたぞ!!
どうやらapkファイルをダウンロードしようとしている。

apkファイルとは(wikipediaより)
APK (Android application package、アンドロイドアプリケーションパッケージ、エーピーケー )とは、Googleによって開発されたAndroid専用ソフトウェアパッケージのファイルフォーマットである。

Android用のインストーラーのようですな。
これをAndroidで開いたら、なんかろくでもないことが起こりそうだ

sagawa-udi.comはこんな感じ。

うーーーーむ
画像が表示されてこない・・
下にスクロールしても、画像がない・・
なんか不安になる。
こういうのって、本物そっくりに作るものじゃないのか?

sagawa-ipa同様にリンク先が全部同じかと思いきや

なぜか本物サイトへのリンク。他のリンクも本物サイトのそれぞれの位置へとぶようになっている。

親切だなぁと思いつつ、「貨物追跡サービス」のリンク先を見てみると・・

しっかりと悪意のありそうなapkをダウンロードさせようとしてくる。

ちなみにchromeでsagawa-udiを開こうとすると

警告が出ました。ブラウザの警告ってよく分からん。

ソースコードを見てみる

sagawa-udi.comのソースコードを見てみると、上の方にjavascriptがありました。

   if (browser.versions.mobile && !browser.versions.android) {
    this.location = "http://sagawa-ipa.com/";
    }
</script>

<script type="text/javascript"> 

function kk(){
//alert("速達便をダウンロードされますので、ダウンロード後にインストールしてください");
window.location.href = "./sagawa.apk";

上のif文でandroidかどうか判定して、違ったらsagawa-ipa.comに飛ばすわけですな。

下のfunction kkはなんかパッケージをダウンロードしようとしたときに表示される警告文のようですな。

怪しいサイトとapkをVirusTotalに投げてみる

怪しいサイトを検証してくれる便利サイト「VirusTotal」

まずは、sagawa-ipa.comから

9/67

かなりブラックな判定。ちなみに普通のサイトは 0/67 になります。

次にsagawa-udi.com

4/67

これまたヤヴァイ。

そしてお待ちかね。sagawa.apkです。

21/67

ガクガク(((( ̄□ ̄;)))))
なんじゃこの真っ黒なパッケージは!

怪しいと思ったらクリックするな

調べてみれば不審点しかないけど、初見でくると見破るのは難しいと思います。
普通URLとかみないし。

ただ先に進んでいるうちに、気づくポイントはけっこうありました。
おかしいと思ったら、すっと閉じれば被害はないと思います。

スポンサーリンク