『詐欺メール』楽天カードから「カード情報更新のお知らせ」と、来た件

楽天が米国サーバーからメールを送る？？

今シーズンは昨シーズンと違いここまでは寒い冬となっていますがいかがお過ごしで
しょうか？
そろそろおとそ気分も抜け仕事に学業に本気モードとなっていることと思います(笑)

今朝も事務所の迷子メールを確認していたところ、楽天カードを騙ったフィッシング
詐欺メールを確認しましたのでご紹介しようと思います。

2021年、年明け第二弾はこちら。

件名は「[spam] 【重要なお知らせ】カード情報更新のお知らせ」
”[spam]”はうちの事務所のメールサーバーが悪意のあるメールと判断し付け加えた
スパムスタンプ。
ほぼほぼこれで迷惑メールと断定されます。

宛先は以前に座席していましたが既に退社した女性スタッフ宛。
この方、色々社用メールを乱用していたようで、いまだに時々詐欺メールが届きます(^^;

そして差出人は「”Rakuten” <no-reply@rtaw.site>」
“Rakuten”と書かれていますが、ドメインが”rtaw.site”と楽天とは全く関係ないものが
使われていますので嘘です。
そして”no-reply”は返信しないでくれとの意思表示。
”rtaw.site”なんてドメイン、実際に使われているんでしょうか？
っと思い確認してみると…

昨年の暮れに日本の”お名前ドットコム”で取得したドメインのようですね。
現在は”104.168.200.58”ってIPアドレスに割り当てられてて、その所在はアメリカにあると
出ています。

このメールのヘッダーソースを表示して詳しく確認してみます。
エラーの返信先になる”Return-Path”は差出人のアドレスと同じものが書かれています。

差出人が利用したメールサーバーが自動で刻んだ”Received”って情報はこうなっています。

これによると、差出人が利用した送信メールサーバーのIPは[104.168.200.58]
例によってこのIPアドレスを調査してみます。

この情報によると、このIPは”hwsrv-819967.hostwindsdns.com”ってドメインで使われてて
申請はアメリカのワシントンから2011年5月に”namecheap”を通じて行われたようです。

ということは、このメールの差出人は楽天カードとは全く関係の無い
”hwsrv-819967.hostwindsdns.com”ってドメインのメールサーバーを使って送っている
ことになりますよね？
楽天カードがアメリカに設置されたこのようなドメインのサーバーからメールを送信する
事は考えられないのでこのメールが嘘だと断定することができます。

ここまでの調査で、このメールが楽天からではないことが実証されましたね。
では今度は、メールにあるリンク先の詐欺サイトについて調査してみたいと思います。

詐欺サイトは稼働中だった

メールには必ず詐欺サイトへのリンクが張られていますが、このメールの場合は

ってところに張られています。

そしてリンク先のURLがこちら。

やはり楽天への関連性が全くないドメインが使われていますね…(笑)

つないでみると、ウイルスバスターによる警告が表示され接続できませんでした。
無理やり先に進むと、リダイレクトされることも無くこのままのドメインを使った
巨大なログイン画面が表示されました。

そして使われているドメインの調査結果はこのように出ました。

これも”お名前ドットコム”で取得されアメリカに所在のあるIPアドレスに割り当てられてます。
なんかメール調査の時の”rtaw.site”ってドメインと同じような結果になりましたが、これは
偶然でしょうか…それとも…必然？！

”Yahei”フォントは悪意の証

このメールの本文って間抜けですよね～
だって「弊社のモニタリングにより。普段と違う不審なログインが見つかり。」
ってところ、まず句読点がおかしいし、こう書かれているのにその下の行にある
”IPアドレス”　”デバイス”　”場所”って項目は何も記載がないし…(笑)

それに最後の項…

”メ。”って…(^^;)

そし私が一番気になって気持ち悪いのが使われて入れいる”Yahei”ってとても不自然な
フォント…
これ見ると私、虫唾が走ります…(-_-;)

皆さん、このフォントを見掛けたら要注意ですぞ！！