『詐欺メール』『【メルカリ】 7日後、クーポンの有効期限が切れます』と、来た件
★フィッシング詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
今回は、『メルカリ』に成り済ます不審なメールのご紹介となります。
日本最大級のフリマサービスのメルカリ、個人が簡単にモノの売り買いが楽しめると評判ですが、そんなメルカリも不審なメールの標的とされることがあります。
今回はそんなメルカリの名を騙る怪しいメールのお話です。
では、今回も詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 【メルカリ】 7日後、クーポンの有効期限が切れます
送信者:"メルカリ" <jp.mercari.com-signin@vollmodernant.com.cn>
メルカリをご利用いただきありがとうございます。
あなたが獲得したクーポンの有効期限が「あと7日後」に切れます。
お忘れのないよう、ぜひご利用ください♪
■クーポンタイトル:販売手数料50%還元クーポン(ポイントバック)※上限P10,000
■有効期限:2025/3/23(日)
■内容:■クーポン使用可能条件
ポイントバック率:50%
ポイントの有効期限:取引完了日を含めて、"10日目の23:59″まで
対象カテゴリー:メルカリ内すべてのカテゴリー
最大付与ポイント:P10,000
※ポイントバック時の端数は切り捨てです
※1回限り使用可能です
※Web版では使用できません
※メルカリShopsでは使用できません
※還元ポイントを受け取るためにはクーポンの有効期間内に取引を開始する必要があります
アプリを起動する
https://mercari.com/jp/launch?utm_source=email&utm_medium=coupon_reminder&utm_campaign=91435198&source_location=coupon_reminder&coupon_expiry=7
今後ともメルカリをよろしくお願いいたします。
※本メールアドレスは送信専用のため、ご返信いただきましてもお答えできません。お問い合わせをご希望の場合は下記ガイドをご確認ください
https://help.jp.mercari.com/guide/articles/749/
※このメールを停止したい場合は以下の配信停止のページからお願いいたします。
https://sp.mercari.jp/unsubscribe/?user_id=292425767&type=email_news&token=6bc74e0a745468b4ecb372b684344db6695f332a
▼送信者に関する情報
株式会社メルカリ
〒106-6118 東京都港区六本木6-10-1六本木ヒルズ森タワー
https://about.mercari.com/about/
↑↑↑↑↑↑
本文ここまで
これまた最近のトレンドでもある偽のポイント付与キャンペーンをネタにした悪質なメールですね。
7日後に期限切れとなる販売手数料50%還元クーポンがあるとして、リンクに誘い込んでメルカリアカウントとクレジットカード情報を盗み取ろうとするものです。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。
メールアドレスのドメインを確認
送信者として記載されているメールアドレスのドメイン(@より後ろ)は『vollmodernant.com.cn』
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
よく見りゃ末尾が『.cn』だから中国に与えられた国別ドメインが使われていますね。
そんな馬鹿なはずありません、因みにメルカリが利用するメールアドレスのドメインは『@mercari.com』です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。
では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。
Received: from vollmodernant.com.cn (unknown [165.154.199.204])
ここの末尾に記載のIPアドレスは、送信サーバーが自身で書き込むもので、偽装することはできません。
ドメイン『vollmodernant.com.cn』を割当てているIPアドレスとこのIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。
割当てているIPアドレスとReceivedフィールドのIPアドレスが合致したので、この送信者は自身のメールアドレスを偽ることなく何食わぬ顔でこのメールを送信してきたことになります。
ではこのドメインは、いったいどこの誰のものなのでしょうか?
このドメインに関する詳しい情報を『Whois』さんで取得してみます。
あらら、はっきりとお名前が出てきました。
このお名前の感じとアリババクラウド(阿里云計算有限公司)で取得されていることから、どうやらこの方は中国の方のようです。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を『IP調査兵団』で導き出してみると、シンガポールの山中であることが分かりました。
それにこのIPアドレスは既にブラックリストに登録されて、そのカテゴリは『サイバーアタックの攻撃元』とされています。
リンク先のドメインを確認
さて、本文に4か所、メルカリの公式ドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://94343y.com/login.jp.mercari.com/signin/】
(直リンク防止のため一部の文字を変更してあります)
これまたメルカリのドメインとは異なるものが利用されていますね。
今度は、このドメインに関する詳しい情報を『Grupo』さんで取得してみます。
この情報が正しければ、このドメインの取得者の所在地は、東京です。
割当てているIPアドレスは『43.130.230.103』
『IP調査兵団』でこのIPアドレスからそのロケーション地域を調べると、東京都杉並区付近であることが分かりました。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここに入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページで、このように本人確認と称し更に個人情報やクレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。
まとめ
メルカリが、自社のものではないドメインを使ったメールアドレスで、遠くシンガポールの山中からユーザーにメールを送りサイトに誘導するって絶対おかしいです!
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;