『詐欺メール』楽天から『【ご案内】お取引に関する確認事項がございます』と、来た件

★フィッシング詐欺メール解体新書★

「生成AI」が普及し増々便利になる私たちが生活する世の中。
詐欺師もこれを逃すはずが無く、怪しいメールにも生成AIが浸透しつつあり
最近では片言の日本語ではなく、違和感のない流暢な言葉を使うメールが多くなりました。
このブログは、悪意を持ったメールを発見次第できる限り迅速にご紹介し
一人でも被害者が少なくすることを願い、怪しく危険なメールを見破る方法の拡散や
送信者に関する情報を深堀し注意喚起を促すことが最大の目的です。

もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

いつもご覧くださりありがとうございます!

☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • 宛名を確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。

最初に1点だけ以下の件ご了承ください。
本来ならメールの本文を画像でお見せする方が分かりやすいかも知れませんが、全てを画像化してしまうとGoolgeなどのキーワード検索に反映されず、不審なメールを受取って不安で検索される方に繋がらない可能性が高くなります。
できる限り沢山の方に見ていただき情報が拡散できるようにあえて本文を丸々コピペしてテキストにてできるだけ受け取ったメールに近い表現にした上で記載しています。

では、進めてまいります。

前書き

「楽天カスタマー対応係」なんてとても怪しい部署からこれまたへんてこなメールが届きました。
今回は、そんな楽天株式会社に成り済ます不審なメールのご紹介となります。

では、詳しく見ていくことにしましょう。

以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。

メール本文

ここから本文
↓↓↓↓↓↓

件名:[spam] 【ご案内】お取引に関する確認事項がございます
送信者: 楽天カスタマー対応係 <pj2lpd@stxsaty.shop>

【重要】アカウントセキュリティ強化のお願い

◎◇△様 いつも楽天をご利用いただき、誠にありがとうございます。 システムによる監視の結果、お客様のアカウントのセキュリティレベルが低下していることが判明しました。これにより、情報漏洩のリスクが高まっております。以下のような状況が発生する可能性がございます:

これを防ぐためには、アカウントの認証情報を再確認し、セキュリティを強化する必要があります。 お手数をおかけしますが、下記のリンクからアカウント情報を更新して、セキュリティレベルを強化してください。これにより、お客様のアカウントがより安全に保護され、第三者による不正アクセスを防ぐことができます。

▼ ご確認はこちらから ▼

情報を確認・入力する ➤

認証手続きを完了しない場合、一部機能の利用に制限がかかる場合がありますので、 何卒ご理解とご協力をお願い申し上げます。

なお、このメールは楽天市場公式から送信されたものです。 ご不明な点がございましたら、楽天カスタマーサービスまでお問い合わせください。

楽天株式会社 カスタマーサポートセンター https://www.rakuten.co.jp Copyright (c) 2001 Rakuten Group, Ltd. All Rights Reserved.

今後このようなメールの配信を希望されない場合は、こちらから配信停止をお願いいたします。

配信停止: unsubscribe@14sdxfxz.shop/cardpsd | 楽天株式会社 〒158-0094 東京都世田谷区玉川1-14-1

↑↑↑↑↑↑
本文ここまで

なんか件名と本文の内容が異なるような気がしますが…😓

「お客様のアカウントのセキュリティレベルが低下していることが判明しました」とありますが、そんな監視してしているのでしょうか?
よしんば本当にそうだとして、アカウント情報を更新すればセキュリティレベルが強化されるんでしょうか?
そんなわけありませんよね。
これは、セキュリティレベルが低下していることを理由にユーザーを不安に陥らせて、リンクに誘い込む典型的な詐欺メールの手口で、楽天の会員情報とリンク先でクレジットカード情報を盗み出そうとするのが目的です。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは全て迷惑メールと判断されたもの。
うちのサーバーの場合、注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は「stxsaty.shop」
恐らくこのドメインは偽りのドメインでしょう。
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません

もうお分かりですよね?
そうです、楽天市場が利用するメールアドレスのドメインは「rakuten.co.jp」です。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。

Received: from stxsaty.shop (syn-184-056-071-248.res.spectrum.com [184.56.71.248])

カッコ内の情報は送信サーバーが自身で書き込むもので、偽装することはできません
では、まずはドメイン「stxsaty.shop」に関する詳しい情報を「Grupo」さんで取得してみます。

IPアドレスが全然違いますよね、この結果からこの送信者が使ったとされる「stxsaty.shop」を使ったメールアドレスは偽装であることが断定できます。

因みにReceivedのカッコ内に書かれていた「spectrum.com」と言うドメインは、米国 コネチカット州 スタンフォードに拠点を置く「Charter Communications(チャーター・コミュニケーションズ)」が提供するサービスブランド「Spectrum(スペクトラム)」の公式ウェブサイトで使われていおるもの。
このことから考えると、このメールの送信者は、「Charter Communications」のメールサーバーを利用することができる人間であることが分かりますね。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、米国のエリー付近です。

宛名を確認

このメールの冒頭には「◎◇△ 様」と「宛名」が書かれていますが、なぜかこのメールを受信したメールアドレスのアカウント部分(@より前)。
でも仮にもしこれが本当に楽天市場からだとすれば、ユーザーの氏名を絶対知っているはずですからこのような宛名はとても不自然です。
ならどうしてこのような書き方をするのでしょうか?
その原因は、このメールの送信者は受信者の情報をメールアドレスしか知らないわけだから宛名なんて書きようがないからです。
どうせどこかから漏洩したメールアドレスのリストを入手し、そのメール宛に無選別でこういったメールを送信しているのでしょう。

リンク先のドメインを確認

さて、本文の「情報を確認・入力する ➤」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。

【h**ps://14sdxfxz.shop/cardpsd/】
(直リンク防止のため一部の文字を変更してあります)

当然ですが、楽天市場のドメインとは異なるものが利用されていますね。
先程と同様にこのドメインに関する詳しい情報を「Grupo」さんで取得してみます。

「Registrant Organization」には「Privacy service provided by Withheld for Privacy ehf」と記載されています。
これはドメイン登録者の個人情報をWHOISに掲載せず匿名化するサービスで、アイスランド(レイキャビク)に所在する「Withheld for Privacy ehf」が提供しているもの。
このサービスを利用すると、ドメインの登録者の各種情報(名前、住所、電話番号、メールアドレスなど)が公開されるのを防ぐため、その代わりにこのように、Withheld for Privacy ehfの情報が表示され、スパムや不正アクセスからの保護が強化することができます。
半面最近は、このサービスが藪蛇(やぶへび)になりこういったサイバー犯罪の温床とされることが多く見られます。

割当てているIPアドレスは「43.154.12.100」
IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな香港付近であることが分かりました。

リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。

公式サイトとはURLが全く異なるので、これは本物そっくりの偽ログインページです。
当然、ここにIDとパスワードを入力してログインボタンを押してしまうとその情報は詐欺犯に把握され不正ログインが可能となります。
この先のページでこのように、クレジットカードの情報を盗み取られた上で詐欺の被害に遭うことになります。

それにしてもメールには「アカウント情報を更新」と書いてあったはずなのに「楽天e-NAVI サービス開始手続き」ってどういう意味なのでしょうね?(笑)

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

 

迷惑メール14sdxfxz.shop,IPアドレス,SPAM,stxsaty.shop,アカウントセキュリティ強化,アカウントのセキュリティレベルが低下,アカウント情報を更新,ドメイン,ドメインを確認,なりすまし,フィッシング詐欺,不正利用,件名の見出し,偽サイト,偽メール,宛名を確認,情報漏洩のリスク,拡散希望,楽天,楽天カスタマー対応係,楽天市場,楽天市場公式から送信,注意喚起,第三者による不正アクセス,詐欺,詐欺メール,迷惑メール

Posted by heart