『詐欺メール』「 【重要】楽天カードから緊急のご連絡」と、来た件

嘘まみれ

ここ1週間で桜も散り果て木は葉桜となり路面には茶色の残骸が残るのみとなりました。

さて、今回も相変わらず迷惑メールのご紹介です。

どことなく日本語スキルの低いこのメールに付いて調査してみようと思います。

まず件名から。
「[spam] 【重要】楽天カードから緊急のご連絡」
“[spam]“はサーバーセキュリティーの迷惑メールフィルターに引っ掛った証拠。
なのでこの時点で要警戒です！

差出人は「Rakuten <rakuten-card.co.jp>」
確かに”rakuten-card.co.jp”は楽天カードの正規ドメインですが、こんなのちゃんちゃら嘘。
メールのヘッダーソースを見ると、このような情報になっています。

Return-Path: <cxlomehv@pkhffhkv.me>

Message-ID: <E473A2B618B16B8D51CB3FFFD03F30CE@pkhffhkv.me>

”Return-Path”は宛先不明などの際の返信先を示すアドレス。
そして”Message-ID”はそのメールを特定するための識別子。
このどちらにも”rakuten-card.co.jp”じゃなく”pkhffhkv.me”なんて全く関係のない
ドメインが記載されています。
もちろんこれらのフィールドも簡単に偽装できるのでおそらく”pkhffhkv.me”も嘘。
調べてみると、このような結果が出ました。

なので”pkhffhkv.me”は存在しないドメインです。

”Received”から位置情報を割り出す

それでは、メールの差出人の情報を探ってみます。

Received: from pkhffhkv.me (v118-27-121-118.pncf.static.cnode.io [118.27.121.118])

”Received”は唯一差出人の情報を特定できるフィールド。
ここには差出人が利用したであろう送信メールサーバーのホスト情報が記載されています。

「pncf.static.cnode.io [118.27.121.118」

これがその情報。
これを元にそのホストサーバーのおおよその位置を割り出します。

”static.cnode.io”ってドメインはしょっちゅう見かけるんでやるまでありませんが、一応…

「楽天」じゃなくて「楽園」だってさ…

これらのメールには必ず実際に詐欺を実行するための詐欺サイトへのリンクが
記載されています。

それがこのURL

間違えやすいんですが、ここで記載されているURLでドメイン部分を抽出してみると

”rakuyen-cctd.co.jp”じゃなくて”roserzj.com”

それによ～く見てください、”rakuten”じゃなくて”rakuyen”…

「楽園！！」って…(^^;

まぁど～でもいいけど…

では、”roserzj.com”ってドメインについても調査してみます。

まずこのドメインは”155.94.129.136”ってIPアドレスに割り当てられているようです。
そしてそのIPアドレスから取得した位置情報がアメリカのロスアンジェルス。
次にドメインの申請は中国上海から行われていることが分かります。

このURLに調査のため接続してみましたが、既に閉鎖されており内容を確認することは
できませんでしたが、おそらく楽天のログインページが表示されていたことでしょう。

今回のように日本語に違和感のあるメールだと”ピン”ときますが、スキルの高い
メールだとコロッと騙されてしまうかもしれませんね！
ずっお気を張っているものどうかと思いますが、当たり前にメールが行き来する
世の中なのである程度はこちらもスキルを備えていたいものですね。