『詐欺メール』楽天から「アカウントか制限されています、支払い情報の復旧」と、来た件

中華フォントのメール
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
 

句読点が…

またまた楽天市場を騙ったフィッシング詐欺メールです。

書かなきゃいいのに宛名はこちらのメールアドレスに”様”を付加したもの。
こんなの書くと余計に疑われますよ。(笑)
まず最初の段落の句読点は、全てが”。”
次の段落は、最後以外すべてが”、”
それにここの段落は所々意味不明…(^-^;

最後の段落には鳥居のような読めない漢字も。
また”調査”や”時間”って漢字にも違和感がある中華フォントで書かれています。

これじゃ怪しい以外何物でもありません。

楽天がロシアから?

ではこのメールのプロパティーから見ていきます。

件名は
「[spam] [楽天] アカウントか制限されています、支払い情報の復旧」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Rakuten.jp” <no-reply@mldkaier.tokyo>」
メールアドレスのドメインが”mldkaier.tokyo
楽天市場がねぇ…

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<no-reply@mldkaier.tokyo>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<20211126090315607682@mldkaier.tokyo>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from mail0.mldkaier.tokyo (mldkaier.tokyo [194.87.196.227])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

この結果から差出人のメールアドレスにあったドメインに”Received”に記載されていた
IPアドレスに割当てられているので、メールアドレスの偽装は無かったことが分かります。
申請者は東京の人のようで、割り当て地は”ロシア”となっています。
もう少し詳しい情報を入手すべく別のサイトで詳しい位置情報を拾ってみました。

おおよそのですが、このメールを送信したサーバーは「ロシア・モスクワ・ゼレノグラード」
から送られてきたことが分かりました。

詐欺サイトの旬は短く…

本文に記載されている詐欺サイトへのリンクURLはこのように記載されています。

でも、これは偽装で実際はこのようなURLのサイトへリンクされます。

使われているドメインは”rkioene.rkisnkslo.club
これも先ほどと同じように調べてみます。

このドメインはGMOが所持しています。
で、割当ててるIPは”194.87.197.190”と出ているので詳しい位置を確認すると。

先程メールでも出てきた場所と同じですね。
IPアドレスのセグメントが異なるので同じ場所ではないと思いますが、メールサーバーも
ウェブサーバーもどちらも「ロシア・モスクワ・ゼレノグラード」にあるようです。

詐欺サイトの旬は短く、接続してみると既にサイトは閉鎖されていました。

まとめ

メールのドメインも詐欺サイトのドメインも国内からの申請でどちらもモスクワで運用
されているどIPアドレスであることが分かりましたね。
大前提として楽天グループが自社以外の”mldkaier.tokyo”なんてドメインを使った
メールアドレスでメールをユーザーに配信することはありません。
本文を見るまでもなくその時点でOUTです。
詐欺メールは年末に向けさらに増えてきますのでお気を付けください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールGMO,IPアドレス,Message ID,mldkaier.tokyo,rakuten.co.jp,Received,Return-Path,rkioene.rkisnkslo.club,SMS,SPAM,YaHei,アカウントか制限されています、支払い情報の復旧,サイバーアタック,ジャンクメール,ゼレノグラード,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メール,ワードサラダ,中華フォント,完コピ偽サイト,拡散希望,楽天,楽天市場,注意喚起,渋谷区,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺サイトの旬は短い,詐欺メール,調査,迷惑メール,重要

Posted by heart