SMSで届く偽抽選通知

抽選券が配布されたという内容のメッセージが届いたとのツイート。

オリンピック詐欺かな？😳 pic.twitter.com/pMh2navLoN

— えみりー♡ (@PinkGerbera0726) July 11, 2019

• 届いたとされるSMS

注意:抽選券はそちらのアカウントに配布されました。
[フィッシングサイトのURL] をクリックして抽選してください。当日内に有効。[東京オリンピック]

リンク先は競技一覧

SMSのURLをクリックすると競技一覧ページが表示されます。

画面をクリックしていくと次の項目の入力が求められました。

• Apple ID、パスワード
• 住所、メールアドレス、携帯電話番号
• 1万円分のApple Store ギフトカードの番号

画面の流れを整理すると次の通り。Apple ID入力後は一度競技一覧ページに戻され、再度クリックすると純金製の記念盃をもらえると誘導するつくりになっていました。

一応？画面右部にAppleのマークがありました。*1

また、一度入力を済ませると2回目以降は次のアラートが表示され入力ができない作りでした。

フィッシングサイトの調査

以下は稼働していたサーバーの調査です。

• ドメインは1件を除いて実際に確認したものではなく、当該IPアドレスへ誘導されるドメインを抽出したものです。
• SMSで確認されたドメインは2019年7月11日に作成されたものでした。
• フィッシングサイトは2019年7月12日6時時点で稼働中です。*2

• ドメイン

www.sc9[.]me
gzfeature[.]top
xgconduct[.]top
bjweight[.]top
hnpage[.]top
xjenable[.]top

• IPアドレス

180.131.28[.]47 （韓国）

• フィッシングサイトのページ

login.php（Apple ID入力ページ）
zhong.php（記念盃選択ページ）
ling.php（住所等の入力ページ）
pay.php（Apple Store ギフトカード 番号入力ページ）
end.php（完了ページ）

• 今回のスミッシングと過去Amazon、三井住友銀行のフィッシングサイトのドメイン登録時に用いられたメールアドレスと同じものが使われていました。

三井住友銀行のフィッシングサイトが稼動中ですので共有です。
ご注意ください。

URL→hxxp://smbc-jp[.]top/
↓
URL→hxxp://www.smbc-jp[.]top/jp2/index.php

IPアドレス→115.144.238[.]152 #Phishing@smbc_midosuke

下記のような偽SMSが出回っているようです
参考↓https://t.co/dC7dLe53Qc pic.twitter.com/O3yGWZqYit

— にゃん☆たく (@taku888infinity) 2019年1月10日

更新履歴

• 2019年7月12日 AM 新規作成
• 2019年7月12日 AM ギフトカードの番号入力はAmazonではなくApple Storeだったため画像、記事を修正。