サイトアイコン HEARTLAND

『詐欺メール』『楽天アカウントから送信されたメールに記載された支払い金額が異なります』と、来た件

『楽天安全センター』って…
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

件名と本分がリンクしていない

『楽天安全センター』と、存在しない部署名を使った悪質な詐欺メールが届きました。

『Rakutenお客様』ってどういう宛名?(笑)
こんなじゃ宛名書かない方がよっぽど良いかと…

それにこれほど件名と本文がリンクしないメールって存在するのですね。(笑)
こんなに乖離していると呆れてものも言えませんわ…

本文は、実に古典的な内容で、最近あまり見られなくなりましたが、楽天の詐欺メールに限らず
昔はこの手のテンプレートを使った詐欺メールが実にたくさん作られていました。

ここに書かれている『(01)-50-5830-6860』と言う電話番号。
気になったので『電話帳ナビ』さんで調べてみると…

『注意が必要な電話【犯罪系】』と書かれておりとても危険な番号であることが分かります。

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『[spam] 楽天アカウントから送信されたメールに記載された支払い金額が異なります』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”Rakuten” <information@Rakuten.co.jp-Japan>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

まず第一に、メールアドレスに限らずドメインに大文字小文字の区別はありません
いくら強調したいからと言ってドメインに大文字を使うと笑われますよ!(笑)
それに楽天グループの公式ドメインは”rakuten.co.jp”で後ろの”-Japan”はありません。。。(;^_^A


アムステルダム大学からの送信か?!

では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from qwe44.localdomain (unknown [5.180.183.50])』

このメールはあり得ないドメインのメールアドレスが使われているので、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
これを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

かなりアバウトな位置ではありますがこのメールは、オランダのアムステルダム大学内もしくは
その付近に設置されたメールサーバーを利用して送られてきたようです。

送信に利用されたのは、アメリカの『Kamatera Inc』と言うプロバイダーです。


詐欺サイトは既に閉鎖か?

では引き続き本文。

楽天安全センター
Rakutenお客様
残念ながら、あなたのアカウントを更新できませんでした。これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
今アカウントを確認できます。
楽天ログイン
なお、72時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。パスワードを変更した覚えがない場合は、至急(01)-50-5830-6860までお電話ください。
お知らせ:
パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。
どうぞよろしくお願いいたします。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『楽天ログイン』って書かれたところに付けられていて
リンク先の『Nortonセーフウェブレポート』での判定はこのようにレポートされていました。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”1111.huaren-bio.com
このドメインにまつわる情報を取得してみます。

中国湖北省の方が管理しているこのドメインを割当てているIPアドレスは”104.21.22.82
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

割当て地はご多分に漏れず、最近詐欺サイト設置場所のトレンドである『トロント市庁舎』付近。

利用されているホスティングサービスは『Cloudflare』です。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

Cloudflareのサーバーからこのようなエラーが返されました。
『Connection timed out』と書かれているので接続がタイムアウトしたようです。
サイトが既に削除されたのか、それともCloudflareが危険を察知して接続できないように
対策を施したのでしょう。


まとめ

サイトへ接続できなくなっているのでひとまずは安心ですが、奴らは複数のサーバーを用いて
攻撃を仕掛けてきますから一概に安全になったとは言い切れません。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了