『詐欺メール』楽天を名乗り「カード情報更新のお知らせ」と、来た件

差出人の情報はこれでいいの？

あ～あ、ゆっくりお昼休みしたかったのになぁ～
また、のどかなランチタイムを台無しにしてくれるフィッシング詐欺メールの登場ですわ。

ふ～ん、”アカウントが”ねぇ～　更新できなかったって…
日本語おかしいですよ～(爆笑)
それにフォントが中華フォントの”Yahei”だし(;^ω^)

差出人は「”gjzppllq” <fuwu@oxafmnj.cn>」
なんすかこれは、楽天の楽の字もありませんがな。
それに”.cn”なんて中国のトップレベルドメイン引っ提げてるし(笑)

そして件名は「[spam] 【重要なお知らせ】カード情報更新のお知らせ」
何とかしてカードの情報を入手したいのが焦りとして出てるような件名だこと…(笑)

ヘッダーソースから溢れ出す情報

このメールは、うちのサーバーで宛先が退社したスタッフ宛で送信先が見当たらず迷子に
なっていたものです。

では、いつものようにヘッダーソースの解析から♪

送信エラー時の返信先に使われる”Return-Path”にもメールアドレスと全く同じ
”fuwu@oxafmnj.cn”が記載されています。

次に送信元の情報”Received”フィールドにはこんなIPアドレスとドメイン情報が
書かれています。

”106.12.202.11”と”hwsrv-802021.hostwindsdns.com”
これからどのような情報が導き出されるのでしょうか、楽しみですね!(^^)!

まずはIPアドレスから

このIPアドレスは中国の北京市で使われているようですね。

では次に差出人のメールアドレスにあった”oxafmnj.cn”ってドメインから。

あのドメインは偽装なのか分かりませんが、ドメインの申請は北京の会社から行われ
現在は”104.168.198.232”ってIPアド絵r巣に割当てられてて、その所在はアメリカ合衆国。
じゃ、もう少し地域を絞れるかやってみます。

ワシントン州のタックウィラって街にあるようですね。

初めて見る”.ooo”ドメイン

今度はメールの本文にあるリンクボタンのリンク先URLを調査してみましょう。

あの赤い「楽天市場ログイン」と書かれてるところです。

見ようによっちゃ”rakuten”って見えないことも無いけどね(笑)

よく見りゃドメインが”.ooo”…(^^;　初めて見るよ。
早速調べると、申請者は東京在住者で”104.168.219.36”ってIPに割当てられてて
その割り当て国は再びアメリカ。
そして申請したのが昨日の11月9日で単年契約されています。
もしかしてどこかでこの”.ooo”ドメインが格安で登録できたりするかも(笑)

ピンスポットを確認すると、またまたあの街が！？

リンクで続されるサイトは全くセキュリティーが施されずのうのうと今現在も稼働中。

とても危険ですので絶対に近づかないでください！