ChatGPTと一緒に、SMSで受信する怪しげなサイトについて調査してみた。

本日は少し変わった話題です

皆さん、下記のようなメッセージがスマホのSMSに届いたことありませんか？

佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました。
http://？？？？？？

※万が一のため、URLは非公開にしております。

こちら、ご存知の方も非常に多いかと思いますが、有名な「偽佐川急便による詐欺」で出回っているショートメッセージですね。

こちらに類似する物で、下記のようなショートメッセージが来ていました。

お客様が不在の為お荷物を持ち帰りました。こちらにてご確認ください
n.𝙣u𝙨𝗉𝗁.com?xug

※こちらは注意喚起のため公開します

今回は、こちらについて調査してみます。
★調査は確認した順に掲載しております。★

 

調査１（サイトから情報確認）

まず、サイトにアクセスできるか確認です。
★実際にサイトへアクセスをしてはいけません。
　筆者も端末からアクセスではなく、あくまでプレビューで見た物です。

スマホからプレビューを確認した

プレビューを確認すると、すでにやばそうなポップアップが出ていますね。

飛ばされたプレビューのリンクについて確認したところ下記のような場所に遷移するようですね。
『n.nusph.com』※絶対にアクセスしないでください。

リンクに対してリダイレクトが存在するかを検証したところ、リダイレクトはなさそうです。

実際にこのサイトにアクセスしたらどのようなページが表示されるのか、有名なSECURLというサイトのサービスを使って確認してみたところ、下記の図の通り、ページの取得に失敗とのことでした。

GASでシンプルに、URLfetchとPhantomJSを使って、静的と動的にスクレイピング もできるか見てみたところ404エラーが出ているようです、、、

念のため、PCのブラウザからアクセスを実施すると次のようになりました。

※仮にページにアクセスしても、何もボタンをクリックしなければ
　ほとんど大丈夫なはずなので、今回は実施しました。
※いわゆるダークウェブなどのような、ヤバめのネットワークやサイトで
　同様の甘えた手段でやるとオワコンなので注意です。

PC（偽装なし）ブラウザでアクセスした画面

ここまでで分かったこととしては、スマホからはアクセスできるが、PCまたはセキュリティツールからからはアクセスがちゃんとできないようなサイトの可能性がありそうですね。

あまり聞いたことないので、念のためユーザーエージェントをiPhoneに偽装するGoogleブラウザのプラグインを使って、iPhone端末としてアクセスしてみましょう。

プラグイン

すると、予想通りアクセスできました。

PC（偽装あり）でアクセスした画面

つまり、このリンクをスクレイピング などする場合は、ユーザーエージェントをiPhoneに偽装することで、突破できそうですね。
※このポップアップはアクセス時に自動で立ち上がるやつですね
　HTMLをいじったことがある方ならわかるはず！

調査２（リンク名から情報を取得）

SMSに送信されたメッセージは＜n.𝙣u𝙨𝗉𝗁.com?xug＞という意味のわからないリンクで、スマホからですと”？”以前の〜.comが反応がありました。

この辺りについて、一度調べてみましょう。

見た感じ、”？”はクエリストリングのようですが、後ろの文字はそのままですね、、、
また、URLにイタリック（斜体）が使われていますが、こういう使い方ができるんだなという感想もありつつ、、、
通常見ることのないようなリンクが送られていそうです。

★他にも同様にSMSが来ているので、このURLとクエリストリングスに固定の意味はなさそうです。

調査３（類似情報を探す）

シンプルに、グーグル検索をかけましょう。
てことで、検索をかけたところ下記の図のような結果が出ました。

つまり、これも結構出回っている詐欺メッセージの可能性がありそうです。
こちらを同様に調査を試みた人がいるのかみてみましたが、特にはふかぼってないですね、、、

ChatGPTに確認しても、やはり詐欺ですねといったメッセージが出るだけですし、、

どこまでふかぼれるのか試しますか。

調査4（リンク先の確認）

アクセス自体はユーザエージェントの変更でできることはわかりました。
しかし、自分の端末からというのはちょっと嫌ですし、仮想マシンを立てるのも面倒ですよね、、

そんな時は、スクレイピング 可能な外部サービスを使って、リスクを転嫁してしまうのがいいかもです。
※だいぶ問題発言です。

ということで、GASとPhantomJS Cloudを使ってユーザーエージェントの偽装は試しましたが、外部ツールで偽装できてるか確認したところ、偽装できないことがわかりましたので、自前構築しているスクレイピング サービスを使って取得してみることに、、、
※もし準備が大変な場合は適当な仮想マシンを立てて、
　覗いてみるだけでもマシですよ！！！

ちなみに、ポップアップが邪魔ですぐわかりませんでしたが、リダイレクトありました。
※下記図を参照（てかGoogle先生の力がパナイ）

ご丁寧に、jaとあるので、もしかするとenとかkoなどもあるかもです。
※つまり、様々な言語圏を対象にしている可能性があるということです。

このURLをノートン様で確認したところ、下記のような結果がえられました、、、

nortonのレポート

これ以上は、完全にウイルスから隔離できる専用の検証環境とスクレイピング コードを準備した上でのアクセスでない場合は、少々怖そうな雰囲気がしますね。

調査5（再度ドメイン情報を確認）

最後に、リダイレクトされているドメインについて確認してみましょう。
duckdns.orgは佐川急便詐欺でも使われていたものですね。

ここでChatGPTに情報提供を依頼しました。

回答にもあるとおり、自身でも調査したところ、
こちら単体は悪質なサービスとは関係なく、フリーのDNSサービスです。
まぁ無料ですので、悪用されやすいからなんでしょうが、、、

ここからは注意喚起なのですが、送られてきたリンクや、リダイレクト先に「〜.duckdns.org」とあった場合は、うかつにアクセスしてはいけない理由として、こちら自前で準備したサーバへの導線を貼ることのできるサービスであるということです。

つまり、何らかの犯罪組織、または他国の情報収集機関などの”王国”的なサーバにアクセスしてしまうため、悪意を持った解析し放題の可能性も高いです。

まとめ

どこかでもう少し調べてみたいものです。。
あと、やはりChatGPTいいっすね