出版社肝いりのブランド情報サイト…のニセモノ？…このサイトってフィッシングならかなり巧妙、本物なら異常に稚拙…どっちなの？

本日のニュースでえきねっとのニセモノ詐欺サイトが堂々と検索ページの上位に表示されてかなり引っかかった人もいるかもしれないという情報が流れていた。

えきねっとニセモノサイトのドメインはekinet.ruでこれはロシアのドメイン。

JRの公式切符予約サイトがロシアのドメインを使うなんてありえないから、この偽サイトはドメインを見ることでニセモノと気づくことができるはずだが、今日見つけたこのサイトは本物なのかニセモノなのか見分けがつかない。

ニセモノだとしたらあまりにも巧妙だし、本物だとしたら何やってるんだよと言いたくなるくらい稚拙。

ことの次第はテッポのストックを検索で探していたら、このサイトが引っかかったことから。

ナカヤの木製ストックで生産中止になってからもう数年経つので、オークションでも数万円の値段がついているし、そもそもモノがもうどこにもない。

ところがこちらのサイトには在庫があるような表示で、カートに商品を入れられるし、値段が相場の４分の１とめちゃめちゃ安い。

そのサイトがこちら…Precious.jp?…あれ？これって小学館が自社の
ファッション雑誌とEコマースの融合を目指したWebファッションサイトじゃなかった？
というかURLのドメインがlendhourvary.siteなんだけどPrecious.jpのロゴを使うことを
許可されているんならドメインも普通Precious.jpにしないのかな？

ここにナカヤのストックが「送料無料」でしかも相場の
４分の１の１万円ほどで売っているんだけどこれって本物？

会社概要を見ると小学館ではなくeコマースの会社の概要が書いてある
責任者が东条さん？日本人なの？中国人なの？どっち？

Precious.jpを検索すると小学館の本家のサイトが出てきてこちらはドメインもPrecious.jp

Precious.jpの中身を見るとやはり各ブランドに直リンクしていて雑貨なども
Amazonや楽天にリンクしておりこのサイト自体が直販をしている様子はない

例のlendhourvary.siteをwhoisするとこのドメインはインドの
ムンバイの会社からレンタルしているドメインらしい

IPも確認できたのでサーバーをwhoisするとサーバーはアメリカのサンフランシスコにある

サーバーの場所はここ
サンフランシスコのキングストリートという場所を指差しているがこれも本当かどうか
eコマースが海外サーバーを使うこともあるのかもしれないけど
やっぱりインドからレンタルしたドメインで注文を受け付けるのはなんか変
しかし問題のサイトはレピュテーションチェックにも引っかからないし
未だに消えずに表示されているので本当に営業しているeコマースなのかもしれない
そのわりに小学館のPrecious.jpのロゴをそのまま使っていたりどうも腑に落ちない

ということでこれは本物なのか偽サイトなのか確認しきれなかった。

本物のちゃんとした物販サイトなのだとしたら、申し訳ない。

しかしPrecious.jpのロゴ使用契約を正式に結んでいるのなら、ドメインも使えるようにしないと本物かどうか見分けられない。

ましてや小学館のブランドPRサイトとWeb直販サイトではなんだかカルチャーが揃っていないので、本物だとしたらあまりにもやり方が稚拙。

しかしニセモノだとしたらかなり巧妙。

サイト内に膨大なアイテムを揃えており、これがどれも市場価格の半値から９割引きぐらいのすごい安値で売られている。

これがレピュテーションチェックにも引っかからずに表示されいてるが、ググってみたらPrecious.jpを自称する詐欺サイトが過去にもいくつか出現しているらしい。

いずれもPrecious.jpではなく中国の.cnドメインや.siteドメインなどを使っているのが特徴で、目的はもちろんクレジットカードのカード番号とセキュリティー番号を抜き取って悪用することらしい。

ナカヤのストックが１万円なら買おうかなと一瞬思ったが、こういう悪評も見つけたのでさすがに注文をする勇気が起きなかった。

代引きなら安全かというと最近は代引き詐欺という手口もあるらしいし、ネットの買い物は本当に用心が必要だ。

このサイトについて情報をお持ちの方がいたらどなたか教えていただけたらありがたい。

本当はどっちなんだろう？

本物？ニセモノ？

あいかわらずの銀行のザルセキュリティ…銀行からのスパムメールには注意せよ！

このエントリの口絵に住友銀行のロゴを貼ったから、このサイトは「住友銀行の公式サイトだ」と思う人はいないはずだ。

こんなものキャプチャやロゴのダウンロードができる中の下ぐらいのスキルがある人なら誰でも貼れる。

ところがある日、住友銀行からこんなメールが来た。

曰く「三井住友カードを装ったフィッシングメールに注意せよ…見分ける方法は正式なロゴを貼ってるかどうかだ！(￣Λ￣)どやあ」
とのことだ。

ある日三井住友カードからこんなメールが送られて来た
曰く「公式ブランドロゴは三井住友カードから
送信したメールであることを証明する…」とのことなので
弊サイトも三井住友銀行の公式サイトになったようである
もちろんこれはフィッシングではない公式メールだ

ちょうどその直後ほぼ同じタイミングで三井住友カードから２通のメールが来た
この２通どちらが本物かわかりますかな？…もちろんどちらにも正規ロゴがある
正解は左のロゴがショボい方…見分けるポイントはメーリングリストではなく
自分のアカウント名が宛て先になっているところだがそれも大してアテにならない

同じメールをMacのメールクライアントで開いたら差出人メールのドメインが「.cn」に
なっているのがわかるがこれもエージェント偽装できるので見分ける決め手にならない

Vポイントアプリに誘導しようとしているように見えるし
マウスオーバーするとそれらしいURLが見える
smbc.co.jpともっともらしいドメインになっている

リンク先のアプリのダウンロードページは
一応正規のページのようだが…これも信用しないほうがいい

アプリをスマホにインストールするのはめんどくさい人は
「こちら（SMBCダイレクト）、「Vポイント詳細はこちら」
の方をクリックするに違いない…
ここにマウスオーバーするとscvpass.zresvpj.cnという中華ドメインのリンクになっている
.cnだの.fnだの.edなどのドメインは100%フィッシングと考えて間違いない
ほぼ100%中国人の詐欺サイト

ほぼ同じタイミングで来た三井住友カードからの
「セキュリティ強化のためメールのリンクではなくアプリでカード決済の確認をしてください」
というメールのダウンロードページへのリンクも中華ドメインだった
最近「カードに不正請求が来た」というネットの書き込みをよく見かけるが
銀行系カードのユーザーはもう中国人にカモだと思われているようだ

実際銀行系カードのユーザーはカモと思われているようだが、「ロゴがあれば安心」とかのセキュリティの注意喚起メールを送ってくるようなのが銀行のセキュリティレベルなのでこれはもう銀行の責任といえる。

これで詐欺にやられたら、カードを止める前に発生した被害は当然銀行は補償してくれない。

被害は自己責任という考え方なので、銀行のセキュリティメールはもう間に受けないこと。

自分の決済管理ページをブックマークして、ブックマーク以外のところからリンクで絶対に入らないこと。

もうこうやって自己防衛する以外にない。

住友VISAの偽装フィッシングメールについに引っかかる…このメールで通知をいい加減やめませんか？銀行さん？

つい先日のこと…

住友VISAカードから「カードお支払い日の通知」メールが来た。

それで何の気なしにクリックしたところVPassのログインページが表示されたが、パスワードの自動入力のポップアップ（私の場合は指紋認証のポップアップだが）が出てこないので
「あれ？」
と思ってよくみたら中華のドメインのフィッシングサイトだった。

いつもならこんな手口に引っかからないのだが、今回はこのメールが来る直前に実家の自治体からお墓の管理費引き落としの通知ハガキが来た直後だったので、しかも引き落としの日も一致していたし思わずクリックしてしまった…不覚！……

もうこの手のフィッシングメール見た目では完全に区別できないし、見分けるコツがあって絶対に引っかからない自信はあったのだけど今回のような実際にその日に引き落としの予定があるとかの偶然が重なるといくら警戒していても引っかかるという、自戒も込めた教訓。

最近Twitterで反ワク叩きの人がフィッシングに引っかかったと呟いたところ、反ワク連中が大喜びで一斉に「情弱！情弱！」とか囃し立てているのを見て理性ある人でも引っかかる時は引っかかるんだなという事例を見たばっかりだった。

フィッシングに引っかかった人を馬鹿にしている連中も引っかからないとは限らんぜw

ある日来たのはこんなメール
体裁上は特に破綻のない住友VISAの引き落とし通知
本来の引き落とし日ではないが直前に実家の霊園から
「お墓の管理料をこの日に住友から引き落とすよ」
というハガキを受け取ったばかりだったのでついクリックしてしまった

リンクから飛んだサイトも指紋認証を催促してこないし何かおかしいと思って
Macからこのメールを確認したら差出人メールアドレスもリンク先支払いページのURLも
どっちも.cnドメイン…つまり中華Webだった
リンク踏むようなチョンボはしない人だと思っていたのにヤラレタなあ…

ちなみにこちらは本物の住友VISAからの引き落とし日通知メール
先日も銀行からフィッシングメールと本物のメールの見分け方
みたいな案内メールも来てたが見た目で峻別するのは絶対に無理
リンクのドメインを確認する以外に確実な方法はないのだが
それ以前に銀行さんこの確認メールを送るのそろそろやめません？
こういうことやってるから皆引っかかるんですよ？

通知センターが１分おきに「ウイルス感染」を通知する〜Safari乗っ取られた？ブラクラ？

久しぶりにちょっとヒヤッとする思いをしたのでメモしとく。

ちょっと遊び半分で中華のサイトをいろいろ冷やかしていたら、McAfeeを自称するセキュリティサイトに飛ばされて
「違法なサイトにアクセスしたのでウイルスに感染した可能性がある。スキャンを実行する」
というようなポップアップ付きのページにSafariが飛ばされた。

これ自体はよくある手口で当然McAfeeのマークはついているが、McAfeeとはなんの関係もないサイトで実行ボタンなんかクリックするとなんかもらっちゃうという類のサイトなので当然何もクリックせずにページを閉じる。

そこまでは中華サイトではよくある日常風景なのだが、それ以降通知センターのポップアップが
「ウイルスを１３個検知した。ウイルスを除去する」
というポップアップを１分ごとに表示し始め、Safariを終了しても、OSを再起動しても関係なしに１分おきに警告を出すようになってしまった。

何がこの警告を出しているのか調べたがSafariが出しているので、何かキャッシュが悪さしているのか悪質なクッキー食らったかか…と思いキャッシュもクリーンアップ。

それでも止まらないのでこのポップアップを出しているプロセスを追いかけたが見つからない。

「やばい、なにかブラクラ食らったかな…」
とここで初めて冷や汗が出てきた。

結論から言うと、何か食らったわけではなくmacOSの弱点というか通知センターの死角を狙った手口でウイルスかランサムウエアをかまそうとされていたということらしい。

詳細はキャプチャー

例によって遊び半分で怪しげな中華サイトを漁ってたらこんなポップアップが…
McAfeeが「ウイルスの感染の可能性を警告」してるんだそうだ
McAfeeなんかインストールしてないし中華のよくある手口なので
「はい、はい、ウイルスね」と何もクリックしないでページを閉じた
ここまでは「中華サイトあるある」ネタでしかない

ところがそれ以降通知センターが「１３個のウイルスが検出された」の
ポップアップを出し続けてSafariを終了しようがOSを再起動をしようが
ポップアップが止まらなくなってしまった

通知センターをクリックするとSafariが立ち上がってちょっとデザインが
違うMcAfeeのサイトに繋がって「ウイルススキャンを実行」を繰り返し求めてくる

Safariのキャッシュに何か食らわされてそれが繰り返し
何か実行しているエクスプロイトみたいなものがあるのか探してみたが何も見つからない
キャッシュをクリアしても何かのプロセスがこの~/Library/Caches/com.apple.Safari/の中に
RemoteNotificatiuonsというフォルダを繰り返し自動生成しそのタイミングで通知が表示される
これがSafariを落としてもOSを再起動しても止まらない…
ここでちょっと冷や汗が出た…何かつかまされたかもしれないがその正体がわからない…

ただこのRemoteNotificationsというフォルダ名がヒントになった
通知センターにSafari本体とは別に二つのSafariアイコンの通知設定が増えている
この二つの通知を許可した覚えなんか全くないがなぜか許可したことになっている
これを不許可にすればポップアップは止まるが例のRemoteNotificationsフォルダが
勝手に生成される動きはやはり止まらないのでまだ「ウイルス」は生きている

Remote Notificationsについて調べていたらSafariの設定について
記述しているサイトを見かけたのでこれがヒントになった
Safariの設定の「Webサイト」の項目の通知に入ると
これまた二つのリモート通知を許可した覚えがないのに許可したことになっている

これをプルダウンで拒否にすると例のRemoteNotificationsフォルダは勝手に生成されなくなった
このSafariの遠隔通知設定がダダ漏れになっていてこれが
環境設定のセキュリティホールになっている感じだった

過去の履歴を見ると全ての遠隔通知リクエストを「拒否」しているので
基本的には私には要らない機能なのかもしれない
要らないならここのチェックを外して全ての通知リクエストを
一律拒否する設定にしてもいいかもしれない

macOSのバージョンをSierraからSonomaに一足飛びに上げたので、OSの機能や構造的にあまり理解していない部分もまだある。

Macのシステム環境設定のメニュー構成が大幅に変更されて非常にわかりにくい、直観的でない構成になっていることも原因している。

なんで通知センターの許可設定がシステム環境設定とSafari両方にまたがっているのか…こういうところにAppleの衰退を感じる。

「Macはウイルスに感染しない」
とか、たかを括っている場合じゃない。

これはMacの通知センターに狙いを定めているので、明確にMacユーザーをカモにしてやろうという狙いのサイトだ。

うかつに「実行」をクリックすればウイルス入りの偽ウイルススキャンソフトをつかまされて、そいつがランサムウエアなんか咥え込んでいたら目も当てられない。