conf t

インフラエンジニアのメモ

Appleを騙ったフィッシングの調査「あなたのアカウントは一時的に無効になっています」

Apple IDのフィッシングURLを調査しました。
調査の結果、アップルIDそのものの他、個人情報、クレジットカード情報が盗まれる可能性があることがわかりました。

類似例:
nlab.itmedia.co.jp

2017/9/19追記:注意喚起出ました。
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Apple をかたるフィッシング (2017/09/19)

攻撃経路

Appleを偽ったメールを送信し、文中のURLへ誘導しています。
件名「アラート: あなたのアカウントは一時的に無効になっています」

ページ遷移

危険なのでアクセスしないでください。
hxxp://nkfashions[.]com/js/jpissues662.php (metaタグでのリダイレクト)

hxxp://x[.]co/J4YZBM2H1 (locationヘッダによるリダイレクト)

hxxps://www[.]jp-login[.]appleid[.]apple[.]com-issueid662[.]com (javascriptによるリダイレクト)

hxxps://www[.]jp-login[.]appleid[.]apple.com-issueid662[.]com/Login.php?sslchannel=true&sessionid=2OOJhC2efQsQrmHzH6F8OGISsMq2SxAUloDC1GRgxj7YFPxmWdvKUeDm03pSAZNWorzq7qGEJODoDbLz

最後に行きつくフィッシングのドメインVirusTotalでスキャンしたところ、やはりフィッシングとの判定がありました。
https://www.virustotal.com/#/url/097c8d9ad48c71a900ad39c9f6de66c6a94b108998068617f6d854c20a46ccc7/detection
2 engines detected this URL

実際の画面

以下がフィッシングサイトです。
サイトの見た目からは本物かどうかの判断は困難です。
f:id:monaski:20170918180600p:plain

IDとパスワードを入力すると、以下メッセージが表示されます。

このApple IDはセキュリティ上の理由でロックされています。
サインインする前にアカウントのロックを解除する必要があります.
f:id:monaski:20170918181238p:plain

アカウントのロック解除をクリックすると、以下のように情報入力画面に誘導されます。
個人情報の入力
f:id:monaski:20170918181251p:plain

クレジットカード情報の入力
f:id:monaski:20170918181301p:plain

秘密の質問 f:id:monaski:20170918181313p:plain

最後まで行くと処理中画面になった後、しれっと本物のサイト(appleid.apple.com)に飛ばされます。
そのため、よく確認していないと自分が情報を盗まれたことにすら気づけない可能性もあります。

想定される被害

騙されて情報を入力し送信してしまった場合、以下情報が盗まれる可能性があります。
・アップルID
・住所・電話番号などの個人情報
・クレジットカード情報

回避策

  • 送信元メールアドレスが怪しいか
    送信元メールアドレスを確認する。
    ただし表示名で本物に見せかけていたり、 そもそもメールヘッダのFromが偽装されている場合は見分けがつきません。
    そのため、他に挙げている項目もチェックしましょう。
  • 怪しいと思ったらリンクからではなくWEB検索からアクセスする
    例えばHTMLを使って見た目とリンク先が異なる場合もあります。
    不用意にリンクをクリックするのは危険です。
  • 怪しいと思ったら、メール件名でWEBやtwitterを検索してみる
    この類のフィッシングは不特定多数にメール送信していることが多いので、
    同じようなメールが届いてる人がいないか調べましょう。

  • URLが本当か確認する
    今回も本物と似せたドメインになっていますが、厳密には違うURLです。
    今回の例では、<本物のドメイン>+<文字列>というドメインでした。
    web検索で出てくるURLと比べて異なるようなら怪しいです。

  • SSL証明書エラーのあるページにはアクセスしない
    フィッシングサイトは信頼されていない証明書を使っていました。
    その場合、証明書エラーのページに遷移しますので、
    そのようなページに無理やりアクセスしないようにしましょう。
    「このWebサイトのセキュリティ証明書に問題があります」とは?