不正アクセスをネタに詐欺サイトへいざなう
楽天カードに成りすますフィッシング詐欺メールのエントリーが連投になります。
書き方からすると、恐らく同一犯の仕業ではないかと思いますが、そのメールがこちらです。
1つ前のエントリーに続き、こちらも不正アクセスをネタに偽の詐欺サイトへ連れ込もうとする
詐欺メールになっています。
このメールにも不正アクセス元のIPアドレスが記載されていますが、もちろんでたらめ。
でたらめなので調べても仕方ないのですが、割り当て地は、韓国の慶山市でした。
では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。
件名は
「[spam] 不正アクセスを検知したため、アカウントのご使用は制限されています。」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
差出人は
「"info-rakuten" <info-rakuten@ivzjcib.xyz>」
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。
「楽天グループ」さんは、”rakuten.co.jp”って正規ドメインをお持ちです。
正規ドメインが有るのにそれ以外のこのような”ivzjcib.xyz”なんてドメインを使った
メールアドレスでユーザーさんにメールを送るなんて信用問題に関わる大きな問題です。
時々この”.xyz”と言うドメインについて取り上げていますが、このドメインは格安で取得できます。
因みにこちらが「お名前ドットコム」さんでの価格。
なんと1年目が0円となっています。
当然詐欺に利用するドメインなので短期で使い捨てると思うので、実質手数料のみで利用可能。
こういう理由から必然的にサイバー犯罪に多く使われるドメインとして知られ、こういった理由から
”.xyz”ドメインを多くの組織がデフォルトでファイアウォール遮断しているのが現実となっています。
調査結果は前エントリーと全く同じ
では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「info-rakuten@ivzjcib.xyz」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「112A114CE55EC57180334F05DAB55D54@hxx」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from ivzjcib.xyz (unknown [152.32.202.52])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
では、メールアドレスにあったドメイン”ivzjcib.xyz”について調べてみます。
持ち主は、前のエントリーと同じ中国江蘇省の方。
そして管理しているのはアリババクラウドとこれも前のエントリーと同じ。
そして”152.32.202.52”がこのドメインを割当てているIPアドレスで”Received”全く同じなので
この差出人は、堂々と自分のメールアドレスを記載してこのメールを送ってきているようです。
「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”152.32.202.52”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。
IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、これまた前のエントリーと同じ明治大学にほど近い東京都杉並区和泉2丁目付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。
滋賀ってアメリカでしたっけ?(笑)
では引き続き本文。
| 楽天カード株式会社 [楽天]あなたのアカウントを確認
[*****@*****.***]様
不正アクセスを検知したため、アカウントのご使用は制限されています。ログインしてからご確認ください。
・ログイン日時: 16:33:14
・IPアドレス:165.229.36.248 Microsoft Edge Windows 10
ログインしてご確認ください、お客さまがこのアカウントの正当な保有者であることをお知らせください。
▶ご本人確認
■このメールは送信専用メールアドレスから配信されています。ご返信いただいてもお答えできませんのでご了承ください。
■個人情報の取扱いについては個人情報保護方針をご覧ください。 |
前のエントリーでは、規約違反が理由になっていましたが、今回は不正アクセスがその理由。
ま、どうせ嘘なのでどっちでも構い可ませんが…(笑)
このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「▶ご本人確認」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」ででの危険度評価がこちらです。
おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。
このURLで使われているドメインは、”hidaoapp.com”
このドメインにまつわる情報を取得してみます。
前のエントリーと同じように、申請者のお住まいは不明ですが、これまたアリババクラウドが
管理しているドメインのようです。
使われている国と地域に「アメリカ合衆国 ( 滋賀 )」と書かれているのはご愛敬(笑)
このドメインを割当てているIPアドレスは”155.94.201.12”と言うことなので
このIPアドレスを元にその割り当て地を確認してみます。
こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
ピンが立てられのは、詐欺サイトのメッカ、ロサンゼルス近郊のリトルトーキョーに程近い場所。
フィッシング詐欺サイトは、この付近に密集しています!
危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
前のエントリーでは、閉鎖されていましたが、今回はまだ息が続いていました。
開いたのは楽天へのログインページ。
もちろん偽サイトですから絶対にログインしないでください!
まとめ
楽天絡みが連投になってしまいましたが、できる限り早くお伝えしたかったので御了承ください。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |