『詐欺メール』「楽天市場 アカウント情報変更のお知らせ」と、来た件

またもや退社スタッフ宛

納まりませんねぇ～、コロナ感染と詐欺メール…(-_-;)
昨日がクリスマスイブから数えて2週間。
まぁ、危機感が無いので増えるのは当然のこと。
これから年末年始に浮かれていて感染した患者さんがどうでるのか？
不安ですね…(汗)

さて、今朝の話題もフィッシング詐欺メールで恐縮です…(^^;
連日ですが内容は楽天がらみ、それも中身は昨日のエントリーとほとんど同じ。
ただしタイトル違いなので注意喚起として上げさせていただくことにしました。

そのメールがこちら。

これも昨日と同じように自社のメールサーバーに迷子メールとして保存されていたもの。
宛先は既に退社して席の無い女性スタッフ宛。
ほんとこの方宛ののメールが多くて困りものです…(^^;)

楽天がこのようなアドレスで？！

件名は「楽天市場 アカウント情報変更のお知らせ」
ん～、件名には「アカウント情報変更」とあるのに、本文はログイン確認となってるのに
違和感を感じえませんね。

差出人が「”楽天カード株式会社” <apikey@uncheckrakutenmail.buzz>」
「楽天カード株式会社」と名乗りながら全く楽天を連想させないアドレスってあり得ない。
因みにこのメールアドレスにあるドメインを調べてみたらこのような情報が取得できました。

申請はアメリカアリゾナ州フェニックスからで申請取得日は昨日。
現在の所在はロシアと書かれています。
だいたい”.buzz”なんてドメインはいかにもって感じですよね(笑)

次に、このメールのヘッダーを紐解いてみます。
ヘッダーソースを表示させて差出人が使ったメールサーバーの情報を”Received”から
取得してみると…

[95.85.91.139]ってのが差出人が送信に利用したサーバーのIPアドレス。
これ、上で調べた”uncheckrakutenmail.buzz”ってドメインが割当てられているIPと同じ。
ほう、ということはこの差出人偽装しているわけじゃなくて本当に自身のメールアドレスから
送ったって事なんですね。
当然と言えば至極当然なんですが、詐欺メールでは偽装されていることが殆どなので
これはかなりレアなケース。
ただしロシアからですがね…(笑)

IPアドレスのつじつまが

では今度は本文に注目してみます。

ちょっと待って、このメールって送信日時”2021年01月08日(金) 05:03:38”ってあったけど
ここに書かれている”ログイン日時”はその10秒後になってますが…(^^;)

それにここに書かれてるIPアドレスは現在宮城県仙台市で使われてるもので
決して兵庫県じゃありません。
嘘かいても直ぐにバレルのにね…

元のメールは例の気持ち悪い”Yahei”って中華フォントで書かれています。
そのせいか「必要・ェ」ってところ単純に文字化けなんでしょうか？
この手もメールってこうなってるの非常に多いんですが分かってて直さないのか
それとも直す気がないのか、化けてるのに気づいてないのか…どうなんでしょうね？

次に本文にある詐欺サイトへのリンクですが、そのURLがこちら。

出ました”.xyz”　これ要注意です！
1年目が100円以下で利用できるドメインなので犯罪の温床になりがち。
当然使い捨てです。

いちいち画像出しませんが、調査すると申請はメールにあった”uncheckrakutenmail.buzz”
ってドメインの申請者と同じ人物が行っていました。

そしてこのドメインの所在地は現在アメリカコネチカット州のブリッジポートという街に
あるようです。

こんな所のウェブサーバーを使って詐欺をはたらいているんですね。

今回の調査はこれで終わり。
このサイト、現在も稼働中なので注意が必要です。

こういったユーザー心理の不安を煽り詐欺をはたらくようなメールは非常に多くあります。
特に、ECサイトや金融機関を騙りログインサイトのリンクがくっついているものは
怪しいですのでお気を付けください。