『詐欺メール』『【重要】楽天アカウントに異常なアクセスを検出しました。ご確認ください』と、来た件
★詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
前のエントリーに引き続き今回も「楽天」に絡むもののご紹介となります。
今回は、「楽天カード」に成り済ました怪しく危険なメールです。
では、詳しく見ていくことにしましょう。
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 【重要】楽天アカウントに異常なアクセスを検出しました。ご確認ください
送信者: “楽天カード" <Rakuten@cuckooland.cn>
重要なお知らせ
楽天アカウントに異常が検出されました。24時間以内に確認を行わない場合、アカウントが永久に停止されます。
発生する可能性のあるリスク
- サービスの停止:楽天市場、楽天カード、楽天ペイなどのサービスがご利用いただけなくなります
- ポイントの失効:保有している楽天ポイントがすべて失効します
- 情報の消失:登録情報や購入履歴などが削除される可能性があります
- 復元不可:アカウント停止後の復旧はできません
これは不正アクセスから楽天アカウントを保護するための必須のセキュリティ対策です。
アカウントを今すぐ確認する
ご注意:このメールは楽天アカウントのセキュリティ保護のために送信されています。心当たりのない場合は、すぐにアカウントの確認を行ってください。本メールに記載されたリンク以外からは、個人情報の入力を求められることはありません。
↑↑↑↑↑↑
本文ここまで
このメールは言うまでもなく確実にフィッシング詐欺メール です。
その理由を簡潔にまとめます。
- 送信元メールアドレスが不正
「"楽天カード" <Rakuten@cuckooland.cn>」は楽天カードのものではありません。
楽天公式のメールは「@rakuten.co.jp」や「@rakuten.com」などを利用します。
「.cn(中国ドメイン)」 は楽天とは無関係でこの時点でアウトです! - サービス名が混在
送信者名には「楽天カード」とあるのに本文冒頭には「楽天市場」と書かれていて、更に末尾の署名欄には「楽天株式会社」とグループ内の企業名が混在しています。
因みに現在「楽天株式会社」と言う企業は存在しません。
「楽天株式会社」はずいぶん以前に「楽天グループ株式会社」に社名変更されています。 - 日本語が一見自然だが…
「異常が検出されました」だけで具体的内容がない。
実際の楽天通知は、日時・場所・内容などが明確です - 強い不安を煽る表現
「24時間以内に確認しないと永久停止」「ポイント全失効」「復元不可」など、これはフィッシングで非常によく使われる心理誘導です。
ユーザーを慌てさせて冷静な判断を失わせる表現は、典型的な詐欺の手口で、楽天がこのような脅迫的表現をすることはありません。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダー情報を確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from vmta147.cuckooland.cn (unknown [156.226.209.143])
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、米国のサンノゼ付近です。
回線情報から「Zillion Network Inc. 」は楽天と無関係です。
楽天グループが使用するのは、日本国内大手通信事業者で楽天グループ専用ASです。
リンク先のドメインを確認
さて、本文の「アカウントを今すぐ確認する」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://mtggoldfish.top/tjimagaya】
(直リンク防止のため一部の文字を変更してあります)
ご覧の通りこれも楽天カードのドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません!
このドメインを割当てているIPアドレスを「whois.domaintools.com」さんで取得してみます。
割当てているIPアドレスは「8.216.41.22」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイトではありがちな東京都杉並区付近であることが分かりました。
但しIPジオロケーションは「推定」でしかありません。
IPの所在地情報は、登録情報、推測データ、代表地点(都道府県庁・区役所付近など) を使って機械的に割り当てされています。
故に実際の通信元とは一致しないことが非常に多い です。
海外VPS・プロキシでも「東京」に見せられることができるので詐欺グループはよくこの手を使います。
ここに要点をまとめておきます。
・日本向けVPS(表向きは東京リージョン)
・表向きは東京でも実体は海外
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むと開いたのは「このサイトにアクセスできません」とが書かれたエラーページ。
恐らくこのサイトを設置したレンタルサーバーがその危険を察知して削除したものかと思いますが、ウイルスバスターにブロックされたことが、ここには以前危険なサイトが存在していたことを物語っていますね。
まとめ
メールの文面や送信者のメールアドレスとリンク先のドメインが「楽天カード」や「楽天市場」のものと異なるのでこのメールを詐欺メールと判定いたしました。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;