いろいろやってみるにっき

てきとーに生きている奴の日記

https化に伴い、表示できなくなっているリンクについて修復中。
2018年から遡って修正し、2015年分まで修正完了。


【KDDI】利用料金の未払い金があります。 →リンクをタップしてはダメ

iPhoneにこんなメッセージが来た。見て分かるようにdocomo回線である。

f:id:shigeo-t:20211206095600p:plain

最初からdocomo回線の電話だと誤認していたが、思い出してみると最初はiPhone 5cでKDDI契約au回線だったものである。iPhone 5c→iPhone 6s→iPhone X→iPhone SE2の順で機種変している。6sに変える時にMNPdocomoに移り、その後mineoに再MNP(docomo回線のまま)という経緯である。

なのでMNPしていなければKDDIからお知らせが来てもおかしくはない。

 

実際、TORQUE G04にも同じメッセージが来た。ただしこれも数か月前にMNPしてmineo契約である。au回線のままだが。

f:id:shigeo-t:20211206101215p:plain

 

そもそもキャリアがSMSにメッセージを送るなら157とかを使うはずで、080や090から始まる携帯電話番号のはずがない。実際にKDDIから来るとこんなアイコンになってる。

f:id:shigeo-t:20211206103426p:plain

 

電話番号もiPhoneに来たのが080、TORQUEに来たのが090なので明らかに組織的にやってるフィッシングである。

それに https://bit.ly/短縮URLを使っているのもおかしい。

 

そこで調べてみた。まずはaguse 。

www.aguse.jp

リダイレクト先はduckdns.org 何かで見たぞ。

f:id:shigeo-t:20211206101952p:plain

サーバはチューリッヒである。KDDIチューリッヒから送るわけがない。国内にデータセンタ複数持っているのに。

f:id:shigeo-t:20211206102007p:plain

aguse Gatewayでは残念ながらタイムアウトしてしまう。多分UAとか見ながらiPhoneAndroid以外は弾くのだろう。

 

Netcraftなどでも見たがこのサーバの中身が何で動いているのかの情報は取れなかった。

sitereport.netcraft.com

 

何かで見覚えがあるduckdns.org、調べてみたら他のフィッシングでも使われていた。

aketama.work

 

探してみたらオレにもあった。そもそもヤマトや佐川やJPやAmazon以外のURLで、オレの携帯番号知っててSMS送れるような気の利いた配送業者は無いはず。そうかこの時にduckdns.orgを調べたのか。

f:id:shigeo-t:20211206102829p:plain

 

duckdns.orgが有名になったので短縮URLにしたのかもしれない。

 

そこでなんにもauと関係が無いdocomo回線のデータ+SMS契約のSIMで実験してみることにした。端末はAppleに見捨てられたiPhone 6である。会社でテスト用端末として購入して保持していたものである。回線も。テスト端末ならSMSは必要になることはあっても通話は不要である。個人情報は全く入っていない。

 

アクセスしてみると見事にau IDのログイン画面っぽいw。ただURLはhttpなのでSafariが「安全ではありません」って出してる。これで引っ掛かったら注意不足過ぎる。そもそもタップしちゃいけないけど。あと画面が固定幅みたいでレスポンシブではなさそう。iPhone 6だと絶対このようにちょっとアイコンが切れ気味でセンターに収まらない。

f:id:shigeo-t:20211206104430p:plain

 

ということで、まずは心当たりあったとしても短縮URLはタップしないで調べてね。duckdns.orgなら絶対にタップしちゃダメ。