サイトアイコン HEARTLAND

『詐欺メール』「【楽天市場】より会員個人情報を更新できませんでした.UXt」と、来た件

heart

宛先が「楽天市場お客様」は詐欺
!ご注意!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。
このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください!
リンクは当該サイトを装った偽サイトへ誘導で、最悪の場合、詐欺被害に遭う可能性があります。
ですから絶対にクリックしないでください!
どうしても気になると言う方は、ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするように心掛けてください!

芸能人も被害に遭ってるって…

最近時々SNSやメディアなどでタレントや役者など芸能人が「フィッシング詐欺メールに
騙されて被害に遭った」なんて紹介されているのをちょいちょい見掛けます。
私が思うに、こういったメディアに出られる方々は我々一般人よりずっと気を付けている
と思うのですが、それでも騙されてしまうところを見ると、世間ではそれだけ詐欺メールに
対する意識が薄いんだなぁとつくづく感じるし、こと一般人であれば更にもっと薄いのでは
ないかと心配になってしまいます。
そして今一層情報拡散に注力しなければと思うこの頃です(汗)
まぁしかし、私のような一個人がいくら一生懸命ブログ発信しててもたかが知れてますけどね(笑)

さて今回はまたまた「楽天市場」を騙ったフィッシング詐欺メールのご紹介です。

文面はこんな感じ。

って言っても、今までに何度も紹介している文面で件名が違うだけって話も無きにしも非ず…(汗)

まぁでも、さっきのお話じゃありませんが、非力ながらを書かないより書いた方が少しでも
世の中のお役に立てるんなら”数打ちゃ当たる”方式でやっていこうと思います。(笑)

サクッと調査

まず件名ですが「[spam] 【楽天市場】より会員個人情報を更新できませんでした. UXt
行頭に”[spam]”と記載されているのでうちのサーバーが迷惑メールと判断した証し。
末尾の”UXt”の意味は分かりません…(笑)

次に差出人ですが「“楽天市場” <e-NAVI@rakuten.co.jp>」となっています。
もちろんウソばっかでメールのヘッダーソースを確認してみるとこのように書かれています。

先頭行にある”Return-Path”は送ったメールの宛先が見当たらない場合などにエラーメッセージを
返す返信先のアドレスですが、ここは差出人のアドレスの「e-NAVI@rakuten.co.jp」とは違って
「rakuten-card@rakuten.co.jp」となっていますね。

そして”Received”という行が差出人が利用したメールサーバーの情報で「1.180.227.110」
が差出人が利用したメールサーバーのIPアドレス。
これをとあるサイトで検索を掛けると…

と言うことは、差出人は中国のサーバーを利用してメールを配信しているってことですね!
しかし、色々と大量のメールを調査していますが、中国や香港絡みは群を抜いて多いです。

「ワードサラダ」発見!

これでこのメールは中国発信もしくは中国経由で送信されたことが分かりました。
次にこのメールの本文を詳しく見ていこうと思います。

まずこのメール、本文の隙間の多さに違和感を持ちませんか?
こういった無意味に隙間の多いメールって「あるもの」が隠されていることが多いのです。
そのあるものとはコレです。

これはメールの本文をHTML形式からテキスト表示に切り替えた様子です。
なんか、意味の分からないアルファベットと数字があちらこちらに見えますよね?
これは、うちのサイトでは何度も何度も出てきてる言葉で「ワードサラダ」と呼ばれるもの。
意味の無い文字を羅列することでサーバーのセキュリティー機能システムを混乱させ
迷惑メールフィルターなどを通過させようとする手法です。
でも、件名行頭の”[spam]”が示す通り、しっかりシステム網に引っかかっちゃってます(笑)

“rakuten”じゃなく”rakutanh”(笑)

こういった詐欺メールには必ず詐欺を実行する詐欺サイトへのリンクが配置されています。
このメールのリンク場所は「楽天ログイン」と書かれた赤いボタン。
そこに付けられてたリンク先のURLがこちら。

よーく見ると、”rakuten”じゃなく”rakutanh”(笑)

この「rakutanh-co-jp.com」ってドメインを再びとあるサイトで調査してみます。

現在このドメインを割り当てたIPアドレスは「155.235.254.42」です。
で、このIPアドレスが利用されている場所が「南アフリカ共和国」
と言うことは、この詐欺サイトは現在この国に置かれたウェブサーバー内に設置されて
いるということです。

そして更にその下に書かれている内容を見ると、このドメインはアメリカアリゾナ州
フェニックスという街から2021年1月26日に申請されたことが分かります。
一応ぼかしてマスクしておきましたが、この申請はとある企業名で行われており、
私は何度も見たことのある住所と企業名です(笑)

サイトは接続を試みると一旦はウィルスバスターに遮断されますが、無視して接続してみると
現在も稼働中ですので要注意です!

冒頭でも書きましたが、芸能人でも被害者が出るフィッシング詐欺メールは相変わらず多く
更に日に日に巧妙で厄介なことに素人には見分けがつきにくいものになりつつあります。
皆さんも日常的に届くメールですが、内容をよく見て十分注意して対応してくださいね。

 

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了