duckdns.org 宅配業者を装ったフィッシングアプリ詐欺の手口とは？

フィッシングアプリ詐欺とは、宅配業者を装うことで、ターゲットに偽のアプリをインストールさせて電話帳や個人情報を根こそぎ盗み取る手法です。その手口は、他の特殊詐欺と比べるとシンプルながら、どの年齢でも損害を受けやすいのが特徴です。私にも宅配業者を装った詐欺メールが届いたので、詳しく原因を調べたうえで、情報を整理してみました。実際に送られてきたメールが下の画面になります。

文面を見ると、何やらリンクが付いています。開いてみると真っ白な画面になり特に何も起きません。1時間が経って再び開くと以下のような画面に切り替わりました。

「詳細情報の表示」を押すと、警告を無視してリンクを開くことが出来ますが、開こうとしても待機中で画面は変わりませんでした。複数の被害報告によると、アンドロイドから開いた場合に、佐川やヤマト運輸に偽装したアプリのインストール画面が開くとのこと。ちなみに、この赤色の警告表示は、リンク先の「http」の末尾にsが付いていないサイトによく表示されます。これは、サイトが安全であるという公的な証明書が発行されていないことを意味します。サイトのクローラー(AI)がリンク先を自動判別した結果、危険だよ！と教えてくれています。

詐欺の仕組み

今回送られてきたSMSメールは、080-xxxx-xxxxという個人番号で宅配業者のドライバーの電話番号を装ったものでした。こういった、ドコモ・au・ソフトバンクの大手キャリア(又はその他)の電話番号は、携帯電話番号ポータビリティ（MNP）という仕組みを利用しているので、特定が難しくなっています。実際にこの番号にかけてみましたが繋がりませんでした。また、電話番号を手口とする詐欺グループは、固定電話の機能である「電話転送サービス」を悪用していることがわかっています。最近では、携帯電話に転送サービスの機能があるので、まるで宅配ドライバーや企業からの連絡であるかのように見せかけることが可能です。一時期猛威を振るったオレオレ詐欺も、この電話番号の成りすましを利用しています。特に高齢者やショートメールに慣れていない場合、電話番号から相手を判断してしまうことがよくあります。

送られてきた「qqpzmbdxfq.duckdns.org」というリンク先を調べると、IPアドレスは5.180.146.15で短い時間でアクセス出来なくなるように設定されています。

またこのURLのIPアドレスはDuck DNS(ダックドメイン)という非営利団体がランダムで発行しています。同様の詐欺メールが届いた方にも同じようなURLが表示され、http ://xxxxxxxx.duckdns.orgの×の部分がランダムで生成されています。このドメインはアカウントを登録するだけで無料で誰でも使用できます。

偽アプリをインストールしてしまうと、「C2サーバー」に行動履歴や操作情報がリアルタイムで送られてしまいます。詐欺アプリは悪意のあるプログラムを凝縮した設計になっているので、技術を有した悪意のあるハッカーが作れば、特定のスマホやアンドロイド端末の遠隔操作が出来てしまいます。自分の携帯を踏み台として利用されないようにするには、まずはリンクを開かないことが重要です。また今回のフィッシングアプリ詐欺は、電話番号で騙されやすい点に注意すべきです。おかしいなと思ったら、すぐには出ずに折り返し電話をかけましょう。