×

メルカリ フィッシングメール(SMS)が送られてきたので調査してみた。※真似厳禁

SMSにメルカリに関するメールが送信されていきましたので、ドメインや実際のページを徹底的に検証・調査してみました。

フィッシングメール・フィッシング詐欺とは?

フィッシングメール・フィッシング詐欺とは、指定のサービスに酷似したドメインなどを利用し、オフィシャルのサイトを模写したログイン画面を用意しログイン情報を入力させ、ログインID、ログインパスワードを盗み取る手法のことです。

送られてきたメッセージ

送られてきた内容は下記画像の内容で、「メルカリをご利用ありがとうございます。メルカリの口座を一時凍結します。詳細はアクセス:https://mecariilogo.info/」と記載されていました。

ドメインの持ち主を調査

Whoisでドメインの情報を確認してみました。

結果は以下の通り。

登録は「2021-12-14」で新しいドメインの様です。

サーバーを調べる

次にnslookupでサーバーのIPアドレスを調べました。

IPアドレスは「155.94.134.183」でアメリカ合衆国の様です。

記載のURLにアクセス

ここからは真似しないでください。アクセス先によっては踏むだけでデータを取得するプログラムなどが記述されている可能性もあります。

アクセス先は「https://mecariilogo.info/」ですがPCでアクセス(厳密にはユーザーエージェントがiOSやandroid以外)でアクセスすると何も表示されませんでした。

そこでユーザーエージェントをiOSに偽装しアクセスするとリダイレクトが発生し「https://mecariilogo.info/login.php?token=f66f74c6eada4d0c68dfae12d2b」にアクセスしログイン画面が表示されました。

つくりはかなり雑で公式のものと比べると異なる部分が多い様です。また、公式のページはライトモード、ダークモードに対応していますがフィッシングサイトはライトモードのみの表示となっています。

ソースを確認

表面ではわかりませんがソースコードを見るとわかることがあります。

そこでフィッシングサイトのログイン画面のソースを確認しました。

確認する部分はformの送信先です、送信先は「smscode.php」となっています。

またページ下部にあるJavaScriptにコメントがありますが中国語で記載されていました。

SMS認証も実装されている

ログイン画面の送信先である「smscode.php」に直接アクセスするとSMS認証の画面が表示されました。

こちらも念の為、ソースコードを確認します。

formの送信先は「#」が設定されいるので動作しません。ログイン画面でIDとパスワードを取得しているのでこちらは信用させるためのものかもしれませんがJavascript部分に下記の記述があり入力された認証コードを送信しています。

SMS認証のコードも裏で送信している

JavaScriptのコードは以下です。

入力された文字列を送信しています。丁寧に6桁以外の場合は再度入力を求める様になっていました。

6桁の数字を入力すると

また6桁の数字を入力すると、formの送信先を「password2.php」に変更しアクセスするようになっています。

実際の画面がこちらでパスコードの入力を求められます。

ソースは以下で、パスコード入力後は「success.php」に遷移しその後、公式の「https://jp.mercari.com」にリダイレクトされました。

もちろんログインは完了していません。

さらにこの時点で、アクセス元のIPアドレスを保存し再度「https://mecariilogo.info/」にアクセスしても「https://jp.mercari.com」にリダイレクトされる仕様となっていました。

もちろんIPアドレスを変更すればアクセス可能です。

ダミーの情報でログイン

フィッシングサイトにダミーの情報を利用してログインから行ってみましたが、下記の画面より進みませんでした。

ダミーの情報では先に進まないことを考えるとこのフィッシングサイトの仕様として以下のような仕様が考えられます。

あくまで予想なので実際に可能かはわかりませんが、メルカリ側のセキュリティーが甘いとアカウントを乗っ取られる可能性は十分にあると思います。

コメントする

メールアドレスが公開されることはありません。

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)