ネット詐欺を調査する記事ばかりを担当していたら、怪しいメールにも耐性がつきすぎてしまった今日この頃ですが、今回紹介するメールはかなり怪しいものでした。
調査の発端は、読者から届いた調査リクエスト。転送されてきたのは、あの大手フリマサイト「メルカリ」を名乗るメールです。
開くとのっけからGmail側が警告を出しており、もはや判別する前に「クロ」と思われる危険なメール。一般の人ならこの先に進もうとは思わないことでしょう。が、依頼があったからには調べてみることにしました。
■ 怪しさしかない「メルカリ」からのメール
最初に毎度のお約束ですが、筆者は調査にあたり、万全の備えをして挑んでいます。一般の方が気軽に真似して良い行為ではありませんので、これから筆者が行うことは決して真似しないでください。好奇心は本稿で、満たしていただけたら幸いです。
さて、今回読者から転送されてきたのは「【メルカリ】お客様のアカウント認証に関するお知らせ」というタイトルのメールですが、Gmailが優秀なため、「危険」であることをすでに警告してくれております。
一体この先にアクセスすると何が起きるのか、潜入してみます。ちなみに、リンクはGmailが削除したのかクリックしてもアクセスできないので、直打ちしてアクセスします。URLはメルカリとは全く関係ないドメインになっていました。
■ 偽メルカリにアクセスしてみる
まず出てきたのがログイン画面。ここではユーザーIDとパスワードを……
とちょっとまった、これは相手がユーザーIDとパスワードを盗むために仕込んだ罠。いわゆる、情報を抜き取るために作られた「フィッシングサイト」と呼ばれるものです。ここで安易に情報を入れてはいけません。
ということで、実際には存在しないユーザーIDとパスワードを入れます。
すると……「偽のサイトでパスワードを入力しました。アカウントを保護するため、保存したパスワードをすぐに確認することをおすすめします」という、ブラウザからの警告が出て止めにはいってくれました。ありがとう。
でもここで回れ右はできないので、進みます。すると出てきたのが……
「パスワードが誤っています」
ほう。はじかれました。しかし文字に違和感。よく見ると、「誤」の文字は、右側が「呉」ではなく「口に天」。調べると中国語の「誤」の文字が使われていました。
その後、色々試行錯誤して、無理やりログイン画面を突破しようとすると、スクリプトがエラーを起こします。どうやら開発者があまりその辺のテストをしていない模様。だめだこりゃ。
この手のフィッシングサイトの場合は、もちろん正規のユーザーデータベースと連携していません。だから大半はでたらめを入力しても突破できるのですが、今回は「パスワードが誤っています」と出てきました。
この理由はおそらくですが、何度も入力させて複数のパスワードを盗み取るのが目的。
普通の方ならば、「パスワードが誤っています」が出た時点で、あれ?何か間違ったかな?となり、別のパスワードを……となる場合があるでしょう。そこで別のパスワードを入れようものならば、さらにまたパスワードが抜かれる……ということです。よって、絶対に入れてはいけません。
というか、このサイトにアクセスする時点で本来は危険。絶対にアクセスはしないでいただきたいです。
■ パスワード再設定画面に遷移してみる
とりあえず、パスワードは上記で抜かれるものとして、その下の「パスワードを忘れた方」を押すとどうなるか。
すると、パスワード再設定画面に遷移。遷移先のURLは本物の「メルカリ」のドメインとなっていました。偽メルカリから、本物のメルカリに飛ばしているのです。
偽メルカリからしたら、散々パスワードを抜いたあとなので、もう用無し。盗まれた側は、その後本物に飛ばされるので、被害に気付かないこともあるでしょう。フィッシングサイトではよくある手口です。情報抜いたあとは、最後本物に飛ばす。今回もその流れのようです。
筆者はここで離脱しましたが、その後しばらくして再度このフィッシングサイトにアクセスしたところ、ブラウザ側が完全に「悪質サイト」として認識したためか、赤い警告画面が登場し、アクセスは不能となっていました。
仮に警告画面が出たとしても、相手は次々とアドレスを変更し、我々の個人情報を狙ってきます。
今回のように、「メール」という常套手段を使う場合や、SNSを使う場合もあり、最近その手口は多種多様化しております。ですので、まずは、サイトにアクセスする前に「本当に大丈夫か?」というのを常に意識しておくことが重要かと思われます。
(たまちゃん)
