『詐欺メール』「楽天会員設定が失効しました」と、来た件

差出したのは日本人じゃないね

ちょっと見てくださいこのメール。
これは、うちの事務所のサーバーに残されていた退社スタッフ宛に送られてきた迷子メール。
内容は楽天に成りすまして偽サイトに誘導し詐欺を行うものですが、最初の行を読んでみて
ください。

なんすかこの「お楽天」とか「ご再設定」って…
なんでも言葉を丁寧にすりゃ良いってもんじゃないです。
それにこの文章「必要な場合にお知らせする」で終わってますが本当はまだ後ろに
「お知らせするメールです」とか「お知らせする通知です」とかって続くでしょ？
途中で切っても違和感がないなんて絶対日本人の仕業じゃないはず！
では、そのあたりを踏まえ詳しく見ていきます。

送信サーバーは東京にあり

まず、このメールの件名は
「[spam] 楽天会員設定が失効しました 2021/03/234:57:53」
”[spam](スパム)”とはスパムメールと呼ばれる迷惑メールの事。
うちのサーバーのセキュリティに引っかかったためこのようなスタンプが押されています。
末尾の時刻スタンプの意味は、早くログインしろって事でしょうか？

差出人欄には「”【楽天市場】” <myinfo@rakuten.co.jp>」と書かれています。

これはこのメールのヘッダーソースと呼ばれる詳細情報。
ここにある”Received”フィールドを調べることにより差出人の利用した送信サーバーの
情報を取得することができます。
それがこちらの行。

”from rakuten.co.jp”とされていますが、どうやら差出人が利用したメール送信サーバーの
ホスト情報は”m2dc.static.cnode.io [150.95.209.142]”と記載されています。
”static.cnode.io”ってドメインは、この手のメール調査では見慣れたもの(笑)

調べてみるとホストの拠点は日本の東京と出ましたがいかに？！

詐欺サイトは格安使い捨てドメインを使用

本文を見ていきます。

まずは宛名について。
このメールの本文に書かれている”宛名”は、メールアドレスの@より前のアカウント名部分に
”様”をくっつけたもの。
楽天からの重要メールの”宛名”は、必ずユーザー登録した際にフォームに書き込んだ氏名が
使われるはずですのでこのような宛名のメールは全て詐欺！

そんな目でこれ以降の本文を読んでみると、

「「情報保護方針」の変更により、お客様のアカウント設定が失効しました。」

なんて書かれてもより一層嘘っぽく見えてきますよね？！(笑)
だいたい、急に方針なんて変更しないし、したとしても勝手にアカウント設定が失効する
なんてあり得ません！

このようにユーザー心理を突いた言葉を並べて、本文にあるリンクから偽サイトへ誘導し
詐欺行為を行うのが目的。
リンク先のURLはこちらでしたがサイトは既に閉鎖していました。

”raktuen-jp.club”なんてそれらしいドメイン取っていますが、”.club”なんてドメインは
格安使い捨てドメインで詐欺の温床。
それが証拠に”お名前ドットコム”では初年度の登録料金が60円ですよ(^^;
これならいくらでも使い捨てられそうです(笑)

サイトは閉鎖してても、ドメインの情報は残っているはずなのでちょっと調べてみます。

ドメインの申請情報を見ると、アメリカアリゾナ州フェニックスから申請されています。

そしてホスト情報を確認すると、以下の様に香港と出ました。

ということは、この偽サイトを運営していたであろうウェブサーバーは香港に設置されていた
事になります。

今回のは少々お馬鹿で間抜けなメールなので誰も騙されたりしないとは思いますが、最近の
詐欺メールは多岐にわたり巧妙になってきているので気は抜けません！
メールチェックの際はどのようなメールでも最初から疑ってかかるようにしてくださいね。

では、今日も良い1日を～♪