iPhoneにこんなメッセージが来た。見て分かるようにdocomo回線である。
最初からdocomo回線の電話だと誤認していたが、思い出してみると最初はiPhone 5cでKDDI契約au回線だったものである。iPhone 5c→iPhone 6s→iPhone X→iPhone SE2の順で機種変している。6sに変える時にMNPでdocomoに移り、その後mineoに再MNP(docomo回線のまま)という経緯である。
一度もKDDI契約したことない携帯番号に「KDDIに未払金あります」ってSMSキタww
— ꧁🐶꧂ (@shigeo_t) 2021年12月5日
なのでMNPしていなければKDDIからお知らせが来てもおかしくはない。
実際、TORQUE G04にも同じメッセージが来た。ただしこれも数か月前にMNPしてmineo契約である。au回線のままだが。
そもそもキャリアがSMSにメッセージを送るなら157とかを使うはずで、080や090から始まる携帯電話番号のはずがない。実際にKDDIから来るとこんなアイコンになってる。
電話番号もiPhoneに来たのが080、TORQUEに来たのが090なので明らかに組織的にやってるフィッシングである。
それに https://bit.ly/ の短縮URLを使っているのもおかしい。
そこで調べてみた。まずはaguse 。
リダイレクト先はduckdns.org 何かで見たぞ。
サーバはチューリッヒである。KDDIがチューリッヒから送るわけがない。国内にデータセンタ複数持っているのに。
aguse Gatewayでは残念ながらタイムアウトしてしまう。多分UAとか見ながらiPhoneやAndroid以外は弾くのだろう。
Netcraftなどでも見たがこのサーバの中身が何で動いているのかの情報は取れなかった。
何かで見覚えがあるduckdns.org、調べてみたら他のフィッシングでも使われていた。
探してみたらオレにもあった。そもそもヤマトや佐川やJPやAmazon以外のURLで、オレの携帯番号知っててSMS送れるような気の利いた配送業者は無いはず。そうかこの時にduckdns.orgを調べたのか。
duckdns.orgが有名になったので短縮URLにしたのかもしれない。
そこでなんにもauと関係が無いdocomo回線のデータ+SMS契約のSIMで実験してみることにした。端末はAppleに見捨てられたiPhone 6である。会社でテスト用端末として購入して保持していたものである。回線も。テスト端末ならSMSは必要になることはあっても通話は不要である。個人情報は全く入っていない。
アクセスしてみると見事にau IDのログイン画面っぽいw。ただURLはhttpなのでSafariが「安全ではありません」って出してる。これで引っ掛かったら注意不足過ぎる。そもそもタップしちゃいけないけど。あと画面が固定幅みたいでレスポンシブではなさそう。iPhone 6だと絶対このようにちょっとアイコンが切れ気味でセンターに収まらない。
ということで、まずは心当たりあったとしても短縮URLはタップしないで調べてね。duckdns.orgなら絶対にタップしちゃダメ。
