- 詐欺メールのリンク先の偽サイトを調べてみたら、自分のSNS用のアイコンが出てきて、ちょっとびっくりしました。
- ソースを読むと、Clearbit社のAPIを利用して、メールアドレスからロゴを動的に表示していたのです。
- また、最初の2回のログインを意図的に失敗させ、3回目に別のフォームサイトに誘導する、などの仕掛けもありました。
フィッシング詐欺は年々手口が洗練されてきています。
安全のためにも、普段からサイバーセキュリティについて学んでおくことが大切だと感じました。
YouTube動画でも話しています。
1. 詐欺メールや偽サイトの巧妙化
詐欺メールのリンクからアクセスした偽のログインページ。
SNSで使っているプロフィールアイコンが表示されていました。
サイトのアイコン(ファビコン)とは違うので、どこから探してきたのか気になりました。
2. フィッシングメールのMicrosoftのロゴ
そもそも、発端はMicrosoftのロゴがある英語のメールが届いたこと。
「保留中のメールが4つあるので Release Request(解放要求)ボタンを押して確認しろ」と言っています。
もちろん、メールの中に緊急性を煽るような言葉や、怪しいリンクが含まれているときは要注意です。
メール本文の文面も不自然で、企業からの正式なメールとは考えにくいです。
また、送信元のメールアドレスをみても不自然で、ドメイン名も受信者のものと異なっています。
- 差出人のドメイン:kristysiefkin.com
- リンク先のドメイン:nethunt.co と www.figure.com.pk
受信者に何らかのアクションを急かすような内容になっていますが、このような詐欺メールのリンクはクリックせず、削除しましょう。
また、「迷惑メール」として報告するとよいです。
メールのHTMLソースを生成AIに読ませて、不自然な点を確認するとスムーズです。
もちろん、機密情報が含まれているような、AIに見せたくないメールはダメですが。
迷惑メールの自動チェックもやっていることはほとんど一緒だけどね。
でも、生成AIは「学習」の問題があるか。
2-1. 詐欺サイトへ誘導するリンクURLがクリック追跡していた(nethunt.co)
詐欺メールのリンク先は、以下のようなURLでした。
https://nethunt.co/api/v1/track/link/click/6=
〜/emails.〜?link=3Dhttp://=
www.figure.com.pk/mof/auth/?e=3D〜@chiilabo.com
これは、おそらくNethunt社のサービスを利用してリンクのクリックを追跡するためのURLです。
- 「6=〜」は、ユーザーまたはキャンペーンのID、
- 「emails.〜」は追跡対象のメールのID のようです。
- 「?link=3D」の部分は、URLのクエリパラメータを示しています。
ここに実際のリンク先のURLがエンコードされていて、
「www.figure.com.pk」はパキスタンのドメインです。
- 単に偽サイトに誘導するだけでなく、
- クリックを追跡してどのユーザーがリンクをクリックしたかを特定し、
- そのユーザーのメールアドレスを使って個人情報を盗み取ろうとしている、
と推測されます。
3. フィッシングサイトの特徴
安全な環境から、詐欺メールのURLにアクセスしてみると、やはり不審なサイトに誘導されました。
一見してログインページのデザインが本物とは違って、簡素でボタンにも違和感があります。
アドレスバーに表示されるドメインも「f005.backblazeb2.com」という不審なもの。
このサイトのHTMLソースからスクリプトの動作を確認してみると、
「最初の2回のログイン試行は意図的に失敗させ、3回目に別のサイトに誘導する」というものでした。
else if (formSubmitted === 3) {
setInterval(() => {
window.location.href = "http://form.jotform.com/〜";
}, 2000);
console.log("invalid");
}
移動先のページは、「form.jotform.com」で作られた「従業員業績評価フォーム(Employee Performance Appraisal Form)」というアンケート・フォームでした。
とはいえ、ここで入力した情報もどこに行くのか、わかったものではありません。
3-1. ドメインからロゴを表示する仕組み(logo.clearbit.com)
ところで、この偽サイトで気になったのは、Xでのアイコンが使われていたことです。
このアイコンは、chiilabo.comのファビコン(サイトアイコン)とは異なります。
この偽サイトは信頼性を高めるために、ユーザーのメールアドレスに含まれるドメイン名から、関連するロゴを動的に表示しているのです。
<script>
// 省略
const domain = email.split('@')[1];
const companyName = domain.split('.')[0];
console.log(companyName);
localStorage.setItem("userDomain", domain);
// Log or use the extracted domain
console.log(domain);
document.getElementById("favicon").href = `https://logo.clearbit.com/${domain}`;
document.getElementById("logoimg").src = `https://logo.clearbit.com/${domain}`;
document.getElementById("tittle").textContent = `${companyName} - Mail`;
// 省略
</script>
注目すべきは、「https://logo.clearbit.com/${domain}」という部分。
これは、Clearbit社が提供するAPIを利用して、ドメインに関連する企業のロゴ画像を取得しています。
ClearbitのAPIは、企業や個人に関するデータを提供するサービスです。
たとえば、企業のロゴ、ドメイン、物理的な住所、SNSのプロフィール情報など。
特にマーケティングや営業の分野で広く使われています。
最近の詐欺メールは、いろんなウェブサービスを組み合わせて作られているんだね。