【スポンサーリンク】

どうして偽サイトに自分のロゴが使われていたのか?(ウェブAPI)

どうして偽サイトに自分のロゴが使われていたのか?(ウェブAPI)
  • 詐欺メールのリンク先の偽サイトを調べてみたら、自分のSNS用のアイコンが出てきて、ちょっとびっくりしました。
  • ソースを読むと、Clearbit社のAPIを利用して、メールアドレスからロゴを動的に表示していたのです。
  • また、最初の2回のログインを意図的に失敗させ、3回目に別のフォームサイトに誘導する、などの仕掛けもありました。
どうして偽サイトに自分のロゴが使われていたのか?(ウェブAPI)

フィッシング詐欺は年々手口が洗練されてきています。
安全のためにも、普段からサイバーセキュリティについて学んでおくことが大切だと感じました。

YouTube動画でも話しています。

\記事が役に立ったらシェアしてね/
【スポンサーリンク】

1. 詐欺メールや偽サイトの巧妙化

詐欺メールのリンクからアクセスした偽のログインページ。
SNSで使っているプロフィールアイコンが表示されていました。

詐欺メールや偽サイトの巧妙化

サイトのアイコン(ファビコン)とは違うので、どこから探してきたのか気になりました。

2. フィッシングメールのMicrosoftのロゴ

そもそも、発端はMicrosoftのロゴがある英語のメールが届いたこと。

「保留中のメールが4つあるので Release Request(解放要求)ボタンを押して確認しろ」と言っています。

フィッシングメールのMicrosoftのロゴ

もちろん、メールの中に緊急性を煽るような言葉や、怪しいリンクが含まれているときは要注意です。
メール本文の文面も不自然で、企業からの正式なメールとは考えにくいです。

また、送信元のメールアドレスをみても不自然で、ドメイン名も受信者のものと異なっています。

  • 差出人のドメイン:kristysiefkin.com
  • リンク先のドメイン:nethunt.co と www.figure.com.pk

受信者に何らかのアクションを急かすような内容になっていますが、このような詐欺メールのリンクはクリックせず、削除しましょう。
また、「迷惑メール」として報告するとよいです。

フィッシングメールのMicrosoftのロゴ

メールのHTMLソースを生成AIに読ませて、不自然な点を確認するとスムーズです。

もちろん、機密情報が含まれているような、AIに見せたくないメールはダメですが。

フィッシングメールのMicrosoftのロゴ

迷惑メールの自動チェックもやっていることはほとんど一緒だけどね。
でも、生成AIは「学習」の問題があるか。

2-1. 詐欺サイトへ誘導するリンクURLがクリック追跡していた(nethunt.co)

詐欺メールのリンク先は、以下のようなURLでした。

https://nethunt.co/api/v1/track/link/click/6=
〜/emails.〜?link=3Dhttp://=
www.figure.com.pk/mof/auth/?e=3D〜@chiilabo.com

これは、おそらくNethunt社のサービスを利用してリンクのクリックを追跡するためのURLです。

  • 「6=〜」は、ユーザーまたはキャンペーンのID、
  • 「emails.〜」は追跡対象のメールのID のようです。
  • 「?link=3D」の部分は、URLのクエリパラメータを示しています。

ここに実際のリンク先のURLがエンコードされていて、
「www.figure.com.pk」はパキスタンのドメインです。

  • 単に偽サイトに誘導するだけでなく、
  • クリックを追跡してどのユーザーがリンクをクリックしたかを特定し、
  • そのユーザーのメールアドレスを使って個人情報を盗み取ろうとしている、

と推測されます。

3. フィッシングサイトの特徴

安全な環境から、詐欺メールのURLにアクセスしてみると、やはり不審なサイトに誘導されました。

フィッシングサイトの特徴

一見してログインページのデザインが本物とは違って、簡素でボタンにも違和感があります。
アドレスバーに表示されるドメインも「f005.backblazeb2.com」という不審なもの。

このサイトのHTMLソースからスクリプトの動作を確認してみると、
「最初の2回のログイン試行は意図的に失敗させ、3回目に別のサイトに誘導する」というものでした。

else if (formSubmitted === 3) {
    setInterval(() => {
        window.location.href = "http://form.jotform.com/〜";
    }, 2000);
    console.log("invalid");
}
フィッシングサイトの特徴

移動先のページは、「form.jotform.com」で作られた「従業員業績評価フォーム(Employee Performance Appraisal Form)」というアンケート・フォームでした。

とはいえ、ここで入力した情報もどこに行くのか、わかったものではありません。

3-1. ドメインからロゴを表示する仕組み(logo.clearbit.com)

ところで、この偽サイトで気になったのは、Xでのアイコンが使われていたことです。
このアイコンは、chiilabo.comのファビコン(サイトアイコン)とは異なります。

ドメインからロゴを表示する仕組み(logo.clearbit.com)

この偽サイトは信頼性を高めるために、ユーザーのメールアドレスに含まれるドメイン名から、関連するロゴを動的に表示しているのです。

<script>
    // 省略

    const domain = email.split('@')[1];
    const companyName = domain.split('.')[0];

    console.log(companyName);
    localStorage.setItem("userDomain", domain);

    // Log or use the extracted domain
    console.log(domain);
    document.getElementById("favicon").href = `https://logo.clearbit.com/${domain}`;
    document.getElementById("logoimg").src = `https://logo.clearbit.com/${domain}`;
    document.getElementById("tittle").textContent = `${companyName} - Mail`;

    // 省略
</script>

注目すべきは、「https://logo.clearbit.com/${domain}」という部分。
これは、Clearbit社が提供するAPIを利用して、ドメインに関連する企業のロゴ画像を取得しています。

Clearbit

ClearbitのAPIは、企業や個人に関するデータを提供するサービスです。
たとえば、企業のロゴ、ドメイン、物理的な住所、SNSのプロフィール情報など。
特にマーケティングや営業の分野で広く使われています。

ドメインからロゴを表示する仕組み(logo.clearbit.com)

最近の詐欺メールは、いろんなウェブサービスを組み合わせて作られているんだね。

こちらもどうぞ。
政府機関の偽サイトにご用心  【URLを読み取るコツ】
政府機関の偽サイトにご用心 【URLを読み取るコツ】
新型コロナウィルスの感染拡大のため、新しく申請や手続きが日々更新されています。 このような手続きについての情報がメールで送られてきて、そのリンクからウェブページを見る、というケースも少なくありません。 この記事では、「偽サイト」の見分けるためのURLのしくみを、今さら聞けない「基本のき」から学習してみましょう。 あと、スマートフォンでのURLを表示する操作についてもご紹介します。 注意喚起の意味 インターネットニュースを見ていたところ、このような注意喚起がありました。 【注意...

【詐欺メール】「今すぐVpassにログインしてください」とは?【Vpassと3Dセキュア】
【詐欺メール】「今すぐVpassにログインしてください」とは?【Vpassと3Dセキュア】
「三井住友銀行アカウントの異常なログインがあった」とする迷惑メールが届きました。 偽のVpassログインページに誘導し、ID・パスワード・クレジットカード番号を入力させようとするものでした。 登録しているアカウントの意味がわからないと、詐欺にひっかかりやすくなってしまいます。 「Vpassに登録する」意味とは? 三井住友銀行から「VPassに登録するように」というメールが届いたのですが、どうやって登録したらよいですか? 「Vpass」とは、三井住友カード会員向けのインターネッ...

【迷惑SMS】「Amazonプライムの料金支払い方法に課題が生じています」(amocf.buzz)
【迷惑SMS】「Amazonプライムの料金支払い方法に課題が生じています」(amocf.buzz)
またSMSに「Amazonプライムの料金支払い方法に課題が生じています」という迷惑メッセージが届きました。 「amocf.buzz」というドメインで偽のログインページが表示されました。 落ち着いてブラウザのタブを閉じれば大丈夫です。 これがそうかはわからないけど、最近は、2段階認証を偽装するフィッシングサイトもある(中継型フィッシング)ので、要注意だね。 こちらもどうぞ。
QRコードを読み込むと、関連記事を確認できます。

どうして偽サイトに自分のロゴが使われていたのか?(ウェブAPI)
【スポンサーリンク】
タイトルとURLをコピーしました