『詐欺メール』『楽天銀行のメール設定に異常が発生しています』と、来た件

2023年7月30日

件名と本文に乖離があるのは詐欺メールの常

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシングメール詐欺解体新書★

同じメールが4通も来たら、そりゃ怪しいわ！

楽天銀行から怪しげなメールが一晩に4通。

こんなもの4通も送られてくれば怪しさも4倍ですよね！(笑)
中身はこんな感じ。

この本文は、最近ちょくちょく見かける日本語の使い方がおかしなテンプレートを使ったもの。
特徴的なのは、この部分『被害拡大を防止のだめ』
4通も送るのも問題ですがこれは致命的です。(笑)

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は『[spam] 楽天銀行のメール設定に異常が発生しています』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

ここには『メール設定に異常が発生しています』と書いてあるのに本文にはアカウントの不正利用と
説明されていて内容が乖離していますが、これは詐欺メールの常です。

差出人は
『"RakutenBank" <Rakuten1@dwewhug.cn>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

よく考えてみてください。
公式な正規ドメイン”rakuten.co.jp”があるのにわざわざ”.cn”なんて中国のドメインを使った
メールアドレスでユーザーにメールなんて送ると思いますか？
そんなの絶対にあり得ません。
もう間違えなく悪意のあるメールです！

ロシアサーバーから発信

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received：『from dwewhug.cn (unknown [95.215.108.74])』

では、メールアドレスにあったドメイン”dwewhug.cn”が差出人本人のものなのかどうかを
調べてみます。

これがドメイン”dwewhug.cn”の登録情報です。
これらの調査ではよく見かける漢字2文字のお名前が書かれています。
これによると”95.215.108.74”がこのドメインを割当てているIPアドレス。
楽天のものではないものの”Received”のIPアドレスと全く同じ数字なのでこのメールアドレスは
差出人ご本人さんのもので間違いなさそうです。

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に危険性や送信に使われたホスト情報とその割り当て地を確認してみます。

出ました『サンクトペテルブルク』
最近詐欺メールの発信地として表示されることの多い地域ですね。
送信に利用されたのは、これまたロシアの『Global Internet Solutions LLC』と言うプロバイダーです。

本物とは全く異なるログインページ

では引き続き本文。

いつも楽天銀行をご利用いただきありがとうございます。

楽天銀行が不正利用を検知・判断したので、お客様の楽天銀行は取引サービスが利用停止しました。

不正利用による被害拡大を防止のだめ、ご本人に確認して、取引サービスの限制を解除してください。

▽お手続きはこちら

本人確認を

※このリンクはお客様ご本人様専用のものです。24時間を経過すると無効となりますので、ご注意ください。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『本人確認を』って書かれたところに付けられていますが、いつもながら
この末尾の『を』が気になって仕方ないのは私だけでしょうか？(;^_^A
そのリンク先のURLとトレンドマイクロの『サイトセーフティーセンター』での
危険度評価がこちらです。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは、サブドメインを含め”rakuten.bank.meirenmi.cn”と”rakuten”の
文字も見えますが、これまたしても中国のドメインですね。(;^_^A
このドメインにまつわる情報を取得してみます。

これまた先程と同じ人物の持ち物ですね。
このドメインを割当てているIPアドレスは”96.45.169.14”
このIPアドレスを元にその危険性とサイト運営に利用されているホスト情報、割り当て地を確認してみます。

こおｎIPアドレスは既にサイバーアタックの攻撃元として登録済みです。

サイト運営に利用されているホストは、アメリカのロスにある『Multacom Corporation』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、アメリカの『サンタクラリタ』という街付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

楽天銀行とは書かれていますが、実際の『楽天銀行のログインページ』とはちょっと違う気がします。
どちらにしてもここにIDとパスワードを入力してログインしてしまうと、その情報が犯人側に流れ
詐欺に遭ってしまいます。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;