『詐欺メール』楽天から「お支払い情報が使えません」と、来た件

妙に隙間のあるメールの原因は？

朝から最近静かだなと思いながら穏やかな時間を過ごしてると午後のメールチェックで
サーバーの迷子メールにこんなメールが来ていました。

件名は「お支払い情報が使えません」と、いかにものヤツ。

差出人は「“Rakuten” <no-reply@rakuten.co.jp>」
例によって”no-reply”は返信しないでくれとの意味。
もっとも誰もこんなメールに返信なんてしません。

この本文、いくつかおかしなところに気づきませんか？
そう、まず本文の書き出しの「平素は””をご利用いただき、誠にありがとうござ います。」
って部分。
「””」と入れたところ自社名が抜けてますよね。
そんなに慌てなくても良いのに…(笑)

それに、なんかおなしなところにたくさんのスペースがあるのわかりますよね？
実はここにワードサラダと呼ばれる文字列が隠されています。
メールの表示形式をHTMLからテキスト形式に切り替えて見ると…

ほら、このようにあたかもあぶり出しをしたみたいに中国語の文字が浮きだしてきました。
気持ち悪いでしょ？…これを「ワードサラダ」と呼びます。
こんなことをする理由は「うちのサイトで何度か説明しています」のでご興味のある方は
そちらをご確認ください。

犯人捜し

このメール、差出人は「no-reply@rakuten.co.jp」なんて書いてますがもちろんウソ！
メールのソースからじっくりと見ていきましょう。

これがこのメールのソースの一部

エラー時の返信先「Return-Path」は”<admin@primary011705.xyz”なんて楽天には
全然関係の無いメールアドレスが書かれています。
それに”xyz”なんて格安使い捨てドメインを使って(笑)
このドメインは現在アメリカのアリゾナ州で使われているようです。

以下のようにソースの中にちょいちょい”primary011705.xyz”って出てくるんで
送信者(犯人)はこのドメインの利用者に間違いないようですね。

犯罪拠点はロスアンジェルス

このメールに貼り付けてある詐欺サイトへのリンクは2か所でどちらもウイルスバスターに
接続を遮断されましたので既に周知のサイトのようです。

どちらのリンク先も最終的にはリダイレクトされて同じところにつながりました。

全てに使われているドメインはこれまた怪しい”jp-rakuten.wy0.top”なんて”.top”を使った
格安使い捨てドメインです(笑)

この詐欺サイトが設置されているウェブサーバーの所在地は、アメリカカリフォルニア州の
ロサンジェルス近郊。

それ以外のドメイン申請者の情報などはマスクされているのか検索できませんでした。

しかし激しい「ワードサラダ」でしたね(^^;)
あそこまでされると圧巻としか言いようがありません。
「ワードサラダ」はサーバー惑わすための手法すが、メール件名の行頭に[spam]と
しっかり刻まれていますので、うちのサーバーを通過することはできなかったようですね(笑)

ウイルスバスターが遮断したとは言え現在も詐欺サイトは運営されています。
こういったメールに騙されて詐欺に遭わないように十分ご注意ください。