『詐欺メール』楽天から「アカウントか制限されています、支払い情報の復旧」と、来た件

句読点が…

またまた楽天市場を騙ったフィッシング詐欺メールです。

書かなきゃいいのに宛名はこちらのメールアドレスに”様”を付加したもの。
こんなの書くと余計に疑われますよ。(笑)
まず最初の段落の句読点は、全てが”。”
次の段落は、最後以外すべてが”、”
それにここの段落は所々意味不明…(^-^;

最後の段落には鳥居のような読めない漢字も。
また”調査”や”時間”って漢字にも違和感がある中華フォントで書かれています。

これじゃ怪しい以外何物でもありません。

楽天がロシアから？

ではこのメールのプロパティーから見ていきます。

件名は
「[spam] [楽天] アカウントか制限されています、支払い情報の復旧」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Rakuten.jp” <no-reply@mldkaier.tokyo>」
メールアドレスのドメインが”mldkaier.tokyo”
楽天市場がねぇ…

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

この結果から差出人のメールアドレスにあったドメインに”Received”に記載されていた
IPアドレスに割当てられているので、メールアドレスの偽装は無かったことが分かります。
申請者は東京の人のようで、割り当て地は”ロシア”となっています。
もう少し詳しい情報を入手すべく別のサイトで詳しい位置情報を拾ってみました。

おおよそのですが、このメールを送信したサーバーは「ロシア・モスクワ・ゼレノグラード」
から送られてきたことが分かりました。

詐欺サイトの旬は短く…

本文に記載されている詐欺サイトへのリンクURLはこのように記載されています。

でも、これは偽装で実際はこのようなURLのサイトへリンクされます。

使われているドメインは”rkioene.rkisnkslo.club”
これも先ほどと同じように調べてみます。

このドメインはGMOが所持しています。
で、割当ててるIPは”194.87.197.190”と出ているので詳しい位置を確認すると。

先程メールでも出てきた場所と同じですね。
IPアドレスのセグメントが異なるので同じ場所ではないと思いますが、メールサーバーも
ウェブサーバーもどちらも「ロシア・モスクワ・ゼレノグラード」にあるようです。

詐欺サイトの旬は短く、接続してみると既にサイトは閉鎖されていました。

まとめ

メールのドメインも詐欺サイトのドメインも国内からの申請でどちらもモスクワで運用
されているどIPアドレスであることが分かりましたね。
大前提として楽天グループが自社以外の”mldkaier.tokyo”なんてドメインを使った
メールアドレスでメールをユーザーに配信することはありません。
本文を見るまでもなくその時点でOUTです。
詐欺メールは年末に向けさらに増えてきますのでお気を付けください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;