サイトアイコン HEARTLAND

『詐欺メール』『楽天市場:資金の異常な動きに関する警告』と、来た件

 


★フィッシング詐欺解体新書★


スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

読めない漢字

いつもご覧くださりありがとうございます!

年末に向かい楽天を騙った詐欺メールも増加傾向で今日はこのようなメールも届きました。

件名:[spam] 楽天市場:資金の異常な動きに関する警告
送信者:楽天カード株式会社 <support@creema.jp>資金の異常な動きが検出されましたあなたの楽天市場アカウントの資金やポイントに、不寻常な变动が確認されました。これは不正なアクセスやトランザクションの可能性が考えられます。

もしこのトランザクションや変動を認識していない場合、下のボタンをクリックし、アカウントのセキュリティ対策をとってください。

セキュリティ対策を確認する

・本メールは、ご登録されたメールアドレス宛に自動的に送信しています。

・本メールは送信専用です。本メールに直接返信されても回答はできません。

・セキュリティ確保の観点から、「メールアドレス」欄を変更された場合のみ、変更前のメールアドレスにもこのメールを送信させていただいております。

・ご不明な点がございましたら、お客様サポートセンターよりお問い合わせください。

当社の個人情報の取扱いについては個人情報保護方針をご覧ください。

発行元 : 楽天グループ株式会社

© Rakuten Group, Inc.

※本文をそのままコピペしてあるので文字化けはご容赦ください。
特に2行目の赤文字の部分はと見掛ない漢字で書いてあります。

文字化けするような文字が使われているので、恐らく作者は日本の方ではないことが想像されます。
このメール、『楽天市場』『楽天カード』『楽天グループ』と楽天グループの3つの社名が出てきますが、いったいどの会社名を騙ろうと思ったのでしょうね?
読めない漢字が使われているのでよく意味が分かりませんが、アカウントの資金やポイントが尋常でない変更が確認されたのでリンクを辿ってセキュリティ対策を施すように促しているようです。
って言うか、尋常でない変更が確認されたならセキュリティ対策を行うのは楽天側だと思うのですが…

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”creema.jp
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
この”creema.jp”と言うドメイン、これは日本最大のハンドメイドマーケットプレイス『クリーマ』さんのドメインで、少し前に詐欺メールの送信者として大量に使われていました。
もちろんクリーマさんがこのようなメールを書くはずが無いので偽装アドレスとして利用されているようです。
因みに『楽天カード』が利用するメールアドレスのドメインは、オフィシャルサイトのQ&Aで『@mail.rakuten-card.co.jp』との記載がありました。
故にこのドメイン以外のメールアドレスで届いた『楽天カード』からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from creema.jp (unknown [195.133.11.99])

このIPアドレスからメールの発信地を導き出してみると、『モスクワ』付近であることが分かりました。


サイトは既に閉鎖済み

さて、本文の『セキュリティ対策を確認する』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://servicer.aliyunzhan.com/
(直リンク防止のため一部の文字を変更してあります)
これまた『』のドメインとは異なるものが利用されていますね。

先程と同様に『aWebAnalysis』さんでこのドメインを割当てているIPアドレスを取得してみます。

このIPアドレスからそのロケーション地域を調べると、オランダの『ドロンテン』付近であることが分かりました。

リンクを辿ってみましたが、残念ながらと言うか、『The website has been stopped』と書かれたエラーページが開きました。
翻訳すると『ウェブサイトは停止されました』ですから既にサイトは閉鎖されてしまったようです。

恐らくこのサイトが利用していたホストサーバーが危険を察知して強制的にサイトを閉鎖させたものと思われます。


まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

モバイルバージョンを終了