フィッシング

PayPayを騙るフィッシングメールが来たので調査してみた [アカウントの詳細を更新編]

概要

PayPayを騙りアカウント情報の確認を促すメールが届きました。
「最近行われましたプライバシーポリシーの改定に伴いまして」アカウント情報の確認が必要と書いてあります。

フィッシングメールの中身

実際に送られてきたメールがこちらです。

ロゴも入っていますが、PayPayの会社情報などのシグネチャも入っていませんので慌てなければ怪しいと思うのではないでしょうか。文章も日本語がおかしい部分が見られます。

メールヘッダ

次に送られてきたメールのヘッダ情報を抜粋して見てみます。

 html
Return-Path: <web@vm-36c8f645.netangels.ru>
:
:
X-Sieve: Pigeonhole Sieve 0.4.24 (124e06aa)
X-Sieve-Redirected-From: xxxx@yyyy.zz
Delivered-To: xxxx@yyyy.zz
:
:
Received: from vm-36c8f645.netangels.ru (vm-36c8f645.netangels.ru [45.86.183.18])
by yyyy.zz (Postfix) with ESMTPS id 6553320273AC0
for <xxxx@yyyy.zz>; Tue, 3 Nov 2020 09:27:58 +0900 (JST)
Received: by vm-36c8f645.netangels.ru (Postfix, from userid 1000)
id 03EFB2A2FD; Tue, 3 Nov 2020 00:07:15 +0000 (UTC)
From: =?UTF-8?B?cGF5cGF5LmNvLmpw?= <info@noreply.jp>

まず、送信元ですが<info@noreply.jp>となっています。ドメイン自体は存在しますが、PayPayとは全く関係ありません。メールマガジンなどでよくあるnoreply@のつもりで書いたのでしょうか?
また、Return-Pathの細工はされていませんので、ユーザ名から想像するにWeb上から送られているのかも知れません。
ヘッダの中から調査するIOCは以下になります。

  • vm-36c8f645.netangels[.]ru
  • netangels[.]ru
  • 45.86.183[.]18
  • noreply[.]jp

フィッシングサイト

フィッシングメールに貼られているリンクは<https://mapport.com/wp-includes/widgets/data/.pay/>となっています。wp-includesとなっているところから、WordPress上に置かれているようです。WordPressの脆弱性などを突かれてフィッシングサイトに使われている可能性があります。
IOCは以下になります。

  • https://mapport.com/wp-includes/widgets/data/.pay/
  • mapport.com

証明書情報

URLを見ると鍵マークが正しく表示されています。つまりSSL暗号化は正しい証明書で行われているということになります。ただし、SSL暗号化が正しいからといって、そのサイトが本物という証明にはなりません。この鍵マークに惑わされないようにしましょう。

証明書自体はLet's Encryptによって正しくサインされていることがわかります。
Let's Encryptは無料で利用できるため、誰でも正しく鍵がかかったサイトを作ることができます。このサイトもLet’s Encryptを利用してHTTPSでアクセスできるようにしています。すべてのサイトが無料でHTTPSでのサービスを提供できるメリットがある反面、このようなフィッシングサイトにも利用されてしまうのがなんとも言い難い現状です。

フィッシングサイトの流れ

このフィッシングサイトは少し変わっています。ロボットでないかどうかのチェックが入っているので、本物のサイトと勘違いしてしまうかも知れません。

まずフィッシングメールのリンクをクリックすると以下のようなCAPTCHAの写真選択画面が表示されます。最近のログイン画面ではよく使われる仕組みですので使ったことがあると思います。
このCAPTCHAは正しく選択しないと次には進めませんでしたので、この仕組みは正しいもののようです。
ただ、認証前にCAPTCHAだけが表示されることはあまりないのではないでしょうか。

CAPTCHAが正常に成功するとログイン画面が表示されます。
まず、ここでアカウント情報の入手を試みます。実際には何のチェックもされていませんので、何か入れていれば次の画面が表示されます。

 

そして、クレジットやデビッドカードの情報を入手しようとします。
このページはカード番号の規則性はチェックしているようでしたので、1234の繰り返しなどはエラーとなりました。

IOCの調査

すべて2020-11-03時点での情報です。

  • vm-36c8f645.netangels[.]ru
    VirusTotal : 報告はありませんでした。
  • netangels[.]ru
    VirusTotal : 1つMaliciousとなっています。
  • 45.86.183[.]18
    VirusTotal : 報告はありませんでした。
    AbuseIPDB : 報告はありませんでしたので、報告しました。
  • noreply[.]jp
    こちらはWhoisの情報からも関係ないと思われます。
  • https://mapport.com/wp-includes/widgets/data/.pay/
    VirusTotal : 報告はありませんでした。
  • mapport.com
    VirusTotal : 報告はありませんでした。
    AbuseIPDB : 報告はありませんでしたので、報告しました。

個別に調査してみます。

vm-36c8f645.netangels[.]ru, netangels[.]ru

まずは、このドメインを登録している組織をwhoisで調べてみました。ロシアのデータセンターで使われているドメインのようです。

45.86.183[.]18

送信元のIPを見てみます。こちらは香港のIPとなっています。このIPを脅威インテリジェンスで調査してみました。
AbuseIPDB, VirusTotal共に報告はありませんでした。

https://mapport.com/wp-includes/widgets/data/.pay/

まずは、このドメインを登録している組織をwhoisで調べてみます。

 html
Domain Name: MAPPORT.COM
Registry Domain ID: 1879690146_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2019-08-22T22:20:04Z
Creation Date: 2014-10-09T21:25:02Z
Registry Expiry Date: 2024-10-09T21:25:02Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: 480-624-2505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Name Server: NS.LIQUIDWEB.COM
Name Server: NS1.LIQUIDWEB.COM
DNSSEC: unsigned
URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/

このドメインは2014-10-09に登録されています。wp-includes以下を削除してアクセスするとWeb Mαp Serviceのプラットフォームのページのようです。フィッシングように作成されたのではなく、既存のWebサイトにフィッシング用のページを置かれてしまっているようです。
VirusTotalには報告がありませんでした。

mapport.com

AbuseIPDB, VirusTotal共に報告はありませんでした。

まとめ

最近のフィッシングメールおよびフィッシングサイトは、本物と見間違うほど本物っぽく作られています。ですが、クリックする前にURL(本文に書かれているものではなく)を確認することでアクセスする前に気付くことができます。
仮にアクセスしてしまった場合も、URLや証明書をきちんと確認することが重要です。
また、リンクからアクセスするのではなく、ブックマークなどからアクセスすることでフィッシングサイトへの誘導から逃れることが可能です。

最近、様々な企業を装ったフィッシングメールが送られてきていますので気を付けましょう。

-フィッシング

© 2020 Mister Style All rights reserved.