『詐欺メール』「【アカウントのご使用は制限されています】ログイン通知」と、来た件

★フィッシング詐欺解体新書★

不正利用をネタに本人確認を促す

「楽天カード」から「あなたのアカウントを確認」と書かれたメールが届きました。
なんでも関連規約に違反しているとかでアカウントの利用が停止されているらしいのです…
さっきショッピングしましたけどね！(笑)

そのメールがこちら。

宛名も署名も無いので明らかに詐欺メールの類です。
アクセスログが書いてあるので、アカウントの不正利用をネタにしているようです。
ご丁寧に件名と本文に不正アクセスのIPアドレスまで書いてあるものの、よく見ると
それぞれのIPアドレスが異なっていますね(笑)
詐欺メールでも何でもいいけどやるならちゃんとやりましょうよ！(笑)

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【アカウントのご使用は制限されています】ログイン通知 .ログイン日時: 4:14:59 利用アプリ: [Microsoft Edge Windows 10] IPアドレス:76.22.159.33」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
どうやら不正アクセスは、PCでEdgeを使い午前4時過ぎに行われたようですね(笑)

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”RAKUTEN” <info-rakuten@wlxk21.top>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

毎度のことながら「楽天グループ」さんは、”rakuten.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外の”wlxk21.top”なんて怪しげなドメインを使ったメールアドレスで
ユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。

中国と深い関係？

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

では、メールアドレスにあったドメイン”wlxk21.top”について調べてみます。

”152.32.146.136”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じなので、差出人は自分のメールアドレスをそのまま利用し
このメールを送り届けてきたようです。
このドメインの持ち主は、中国江蘇省の方で、その管理は中国のIT企業のアリババクラウドが
担っているようです。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”152.32.146.136”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、明治大学近くの東京都杉並区和泉２丁目付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

サイトは閉鎖していますが…

では引き続き本文。

どうでもいいけど「■のまたのご利用をお待ちしております。」って何のご利用なんでしょうね？(笑)

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「▶ご本人確認」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での危険度評価がこちらです。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、”pntoken.com”
このドメインにまつわる情報を取得してみます。

このドメインもアリババクラウドで管理されているようですが、持ち主に関する情報は
何も書かれていませんでした。

そしてこのドメインを割当てているIPアドレスは”47.91.170.222”
このIPアドレスを元にその危険度と割り当て地を確認してみます。

危険度に関する項目は、驚異レベルは「高」で、その詳細は、サイバーアタックの攻撃元とされ
攻撃対象はSIPと書かれています。

次に割り当て地。
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは.香港付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみたところ
このように開くことができませんでした。

詐欺サイトは、捜査の手が及ぶのを恐れ、えてして時々姿をくらまします。
こうすることで少しでも捜査の手から逃れようとしているのです。
先程ご覧いただいた通り、IPアドレスとドメインは紐づけされたままなのでサイトは簡単に
復活することが可能な状態ですからまだ気が抜けません。

まとめ

詐欺サイトは開きませんでしたが、閉鎖前は当然偽の楽天ログインページが表示されたはずです。
騙されてログインしてしまうと、成りすまされてしまいショッピングされてしまうでしょう。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;