『詐欺メール』「 [楽天]会員情報変更のお知らせ」と来た件

迷子メールより

今回ご紹介するのも楽天になりすましたフィッシング詐欺メールです。
これはサーバーで宛先不明のまま迷子になっていたメールで、既に退社しアカウントを
廃止したアドレスが宛先になっていました。

差出人：「myinfo@rakuten.co.jp」
差出人名称は無いもののヘッダーの”Message ID”には”xc”と書かれており、同様に
”Received”には"googleusercontent.com [34.97.199.**]"と記載されています。
このIPアドレスの所在について調べてみると”大阪”と言う地名が浮かび上がりました。
(ピンスポットではありませんので悪しからず)

件名：「 [spam] [楽天]会員情報変更のお知らせ（自動配信メール） 9/6/2020 10:41:07 AM」
サーバーで[spam]スタンプ押されてるので詐欺メール確定です。
末尾のタイムスタンプの意味は本文中の「24時間以内にご確認がない場合」とリンクしている
と考えられます。

本文に隠された”アレ”を暴く

さて、本文です。

まず、目に付くのは”楽天会員お客様”
こんな書き方しますか？
一般的に楽天から仮にこのように個人情報関連でメールを送る場合は、必ず宛名は個人の氏名。
このようなおかしな書き方は絶対にしません。
だいたい、”楽天会員お客様”って”楽天会員”と”お客様”って宛名が2つも入っているじゃ
ありませんか…

本文の内容も、支払方法に不備があるからアカウントを更新しろって事のはずなのに
メールの件名は「会員情報変更のお知らせ」とは何ともおかしな感じですよね？
やはりこいつもいつものように日本人じゃなさそうです(汗)

そして、このHTMLで書かれたメールをテキスト表示に切替えて見ると。

ほらほら、何かおかしな文字が隠れていましたね。
これが見出しに書いた”アレ”ですよ！
これはサーバーのセキュリティーであるスパムフィルターを惑わすために書かれた
ワードサラダと呼ばれる技法です。
全文を抽出してみると

分かりやすいように赤字にしてみましたが、気持ち悪いでしょ？
これはまったく意味の無い文字列です。
こうやってサーバーのセキュリティーを混乱させて詐欺メールを目的の相手まで
遮断されずに届けさせようとしているんです。
幸いうちのサーバーにはスパムと判断されてしまいましたが、他のサーバーだと
何事も無く通過している可能性は大いにあります。

今回のメールにある偽サイトへのリンクURLはこんなアドレスでした。
api.verification.2f974ca8e8da79385edf44b3b4dcf5b111876fb6.info/?
もう既に対処された模様で接続はできない状態ですのでご安心ください。