SMSでアプリをインストールしろと指示が来るのむっちゃでっかい釣り針おつって思ってみてみたらドメインは本物っぽくて困惑してるところ。そんな危ないことする?
証明書はLet's Encrypt。whoisはプライバシーガード。ルートは301だけどhttpsではなくhttpにリダイレクト:
$ curl -i https:// t-mo.co/
HTTP/2 301
:
location: http:// t-mobile.com
:
ブラウザで閲覧すると本物のページにリダイレクトされるようになっている。SMSのURLはGoolgle Playストアにリダイレクト:
$ curl -i https:// t-mo.co/VMMtmobile
HTTP/2 302
:
location: https:// play.google.com/store/apps/details?id=com.tmobile.vvm.application&cmpid=…
:
Google Playストアはパブリッシャーの名前が本物っぽいかどうかで本物かどうか判断するしかない感じなんだけど本物っぽいふいんき。
インストールはしないよ!!
おわー。t-mo.ccはwhoisで本物と確かめられる。おっさんの老眼でccとcoを見分けるのはもう無理じゃよ…
TIL: t-mo.ccはT-Mobile USAの管理している本物、t-mo.coはフィッシング 
君と集まって星座になれたら @zundan I’m really confused on the standalone visual voicemail app, Google Dialer has the same visual voicemail support with Apple but every single carrier only cares about supporting that side…
@Renn@not.iee.engineer I don't care about usefulness of the app but I'm really concerned if it is actually T-Mobile asking its customers to install an app through an SMS which anyone can really easily spoof. A good advice should be always ignore this sort of SMSs.
@zundan LMAO I agree, they aren’t even using their main domain, that could easily be used by spoofers.
@zundan 青バッジ付きのヘルプの方が誘導したドメインも結局は同じ……???(こんらん)
@tadd こんどは.ccすねえw
@zundan !!!(寝ぼけ眼ですみませんすみません)