『詐欺メール』「[楽天] 急ぎの業務がありますのでご注意ください。」と、来た件

空きドメインのメールアドレスから！？

最近は成人式がハッピーマンデーとなり今朝は連休明けの火曜日。
思い起こせば30数年前に、私の成人式は1月15日もう記憶も薄れてしまいました。

そんなことは置いておいて、今朝は楽天グループを騙る怪しげなメールをご紹介
使用と思います。
そのメールがこちら。

楽天が私に急ぎの業務って、私、いつから楽天に雇われの身になったのでしょうか？(笑)
そう思いながら本文を見てみると、業務には一切関係無く、私の楽天アカウントが
ロックされている旨を示すものとなっています。

では、プロパティーから見ていきましょう！

件名は
「[spam] [楽天] 急ぎの業務がありますのでご注意ください。」
本文を見ると分かりますが、おとりの件名ですね。
って言うか、おとりと言うよりお門違いと言った方が良いのでしょうか。
大体一般人に楽天グループから仕事の依頼が来るはずがありません。
単に気や興味を引かせるための件名です。
先頭に”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Rakuten” <amazoni-co-jp@goldlanda.com.cn>」
ん？…なんでアマゾンぽい”amazoni-co-jp”なんてアカウントなの？
それに”goldlanda.com.cn”なんてドメイン、楽天グループには全く関連性がありません。
本物の楽天グループからのメールなら、差出人アドレスのドメインは必ず”rakuten.co.jp”
となるはずです。
それにこのドメイン”goldlanda.com.cn”は現在空いていて使われていないようです。(笑)

発信元はまたしても！？

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

やはりと言うか案の定と言うか、想像通り中国が表示されました。
広東省広州市付近と出ているので、差出人が利用したメールサーバーはこの付近に
設置されているようです。

ヒントがいっぱいの本文

では、メールの本文です。

アマゾンや楽天グループからのメールで宛名がメールアドレスだったことは一度もありません。
ですから本文書き出しにある宛名がメールアドレスの場合は100％詐欺メールです。
詐欺師側は、どこかで売られていた流出メールアドレスに当ててこのメールを送っているので
差出人側で知りえるのはこちらのメールアドレスのみだからこうなるのです。

気になる箇所は注記しておきましたが、このメールもご多分に漏れずです。
詐欺メールでは、句読点がおかしかったり、変にへりくだりなんでも”お”を付けたり
文章がおかしな位置で終わったりします。

本文に書かれている「楽天会員情報管理ページ」へのリンクはこのように書かれています。
「https://member.id.rakuten.co.jp/rms/nid/menufwd」
このURLは本物の楽天グループのログインページに接続されますが、実はこれHTMLにより
リンク偽装されています。
実際に接続されるURLはこちらです。

なんか、楽天なのかアマゾンなのかどっちつかずのドメインですね(笑)
使われているドメインは”rakutan009.amzaaoioo1.net”
このドメインについて調べてみましたがその殆どがプライバシー保護。
分かったのは割当てているIPアドレスは”198.211.50.166”で、持ち主は中国湖南省にある
企業であることくらい。

取得できたIPアドレス”198.211.50.166”でその割り当て地を確認してみると。

表示されたのは、ロサンゼルスのサンタクラリタです。
やはり今回も中国とアメリカのセットでしたね。
このパターン多すぎ…(;^_^A

まとめ

なんやかんや気を引く件名を使ってきますね。
まあでも件名に反する本文なので誰も騙されることは無いでしょう。
このエントリーに書いたいくつかのヒント、しっかり覚え被害を未然に防いでいただければ
幸いです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;