メルカリとは全く異なるドメイン いつもご覧いただきありがとうございます! 最近ちょくちょく見掛るメルカリの名を騙った詐欺メール。
先日もこのように別のメールをご紹介しています。 『詐欺メール』メルカリから『本人認証サービスに関する利用規約新設のお知らせ』と、来た件
これらは、メール本文に付けられたリンクからログインさせるふりをしてメルカリアカウント入力させ
それらの情報を盗み出しそのアカウントを使ってなりすましを行うことが目的です。
そんなメールが今日も私の手元に届いています。
 このメールには都合8箇所、様々な所へのリンクが付けられていますが、これらは全部同じ詐欺サイトへの
リンクとなっています。 では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきます。 件名は『[spam] 【メルカリ】認証なお知らせ!』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
『認証なお知らせ』ってまじめに書いているのかそれともおちゃらけているのか…
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。 差出人は
『”jp.mercari” <support@vdmpngs.cn>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。 確かに差出人名には”jp.mercari”とメルカリらしいものが書かれていますが、残念ながら”vdmpngs.cn”は
メルカリのものではなく中国の国別ドメインを使ったもの。
メルカリの公式ドメインは”mercari.com”ですから全く異なります。
まあそれ以前にこの”vipaffo.cn”なんてドメインも眉唾物ですけどね。
アメリカのレストンから発信 では、このメールが悪意のあるメールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。 | Received:『from mail.vdmpngs.cn (unknown [152.32.183.18])』 | ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。 末尾の4つに区切られた数字の集まりはIPアドレスと呼ばれるいわばインターネット上の住所や電話番号で
同じ数字の集まりは世界中に1つしかありません。
因みに、この数字の集まりじゃあまりにも煩雑でわかりにくいので、それに文字を割り当て分かり易くした
ものがドメインと呼ばれるものです。 ”Received”の前半のドメイン部分は、往々にして偽装されていることが多いものですが、末尾のIPアドレスは
送信者のデバイスに割当てられたもので偽装することができません。 このIPアドレスは、差出人が利用したメールサーバーの情報でこれを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、アメリカのレストンと言う地域。
そして送信に利用されたプロバイダーは、香港の『Ucloud Information Technology (Hk) Limited』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようです。
エジプトの方がお持ちのドメインで詐欺サイトを運営 では引き続き本文。 このたびはメルペイのご利用に際し、ご不便をおかけし申し訳ございません。
メルカリグループでは、不正利用防止および利用者保護の観点より、一時的にご利用を制限または、一部のお店や購入される商品によっては決済をご利用いただけない場合がございます。
本人確認の強化を行なっております
今すぐエントリー お客さまにはご不便をおかけし誠に恐れ入りますが、皆さまに安心・安全にご利用いただくための対応となっております。 なお、当社の判断基準や詳細についてはご案内ができかねますことをご了承ください。 ご理解とご協力をお願いするとともに、今後ともメルカリをよろしくお願いいたします。 | なんか支離滅裂でよく意味の分からないメールですね。(;^_^A このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『今すぐエントリー』って書かれたところに付けられていて
コンピュータセキュリティブランドの『Norton』の『Nortonセーフウェブレポート』では
このように判定されていました。
 既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。 このURLで使われているドメインは”jp.maracri.dgsdq.com”
このドメインにまつわる情報を取得してみます。
 このドメインはエジプトのtosdoaと言う地域の方が申請登録されています。
割当てているIPアドレスは”124.156.239.69”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。
(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません) 地図に立てられたピンの位置は、杉並区にある日本大学鶴ヶ丘高等学校総合グラウンド 研修館付近。
利用されているホスティングサービスは、中国の『Tencent Cloud Computing (Beijing) Co』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。 危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。 開いたのは先日の詐欺メールの場合と同じようなメルカリのログインページを模した偽の詐欺サイト。
 ここにIDとパスワードを入力してログインボタンを押すとインジケーターがクルクル回るページが開き
その時点でそれらの情報が詐欺師に流れてしまいます。
まとめ 恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; | 