『詐欺メール』楽天市場から「[重要]安全登録のお知らせ」と、来た件

「安全登録」ってあまり使わないけど

サーバーの迷子メールにまたまた怪しいメールを発見！
受信したアカウントは、既に退社した元スタッフ宛に送られたもの。

これまで退社した元スタッフのうち2名だけに大量の迷惑メールが届くんです。
言っちゃ悪いんですが、仕事用にメールアドレスを使って良からぬサイトにユーザー登録
でもしたんでしょうかね。。。

さて、そのメールがこちらです。

件名は「[spam] [重要]安全登録のお知らせ 17:59:10」
何ともおかしな件名ですね(^▽^;)
こんな言葉を使う日本人そうそういないと思いますよ！
末尾のタイムスタンプは、このメールの信ぴょう性を高めるために付加されているものと
思われますが、全く無意味。
”[spam]”はサーバーセキュリティーの迷惑メールフィルターに引っ掛り付加された
”スパムスタンプ”と呼ばれるもの。
まぁ、この件名はそれ以前の問題ですけどね(笑)

差出人は「”楽天市場” <sjc@rakuten.co.jp>」
もちろん当然の如く偽装されていますが、”sjc”ってなにの略なんでしょうか？

こちらが、メールのヘッダーソースから抽出した差出人の送信サーバーが付加した
”Received”ってフィールド。

Received: from rakuten.co.jp (v133-130-48-22.a005.g.tyo1.static.conoha.io [133.130.48.22])

このフィールドはサーバーが自動で付加するので差出人側では操作できない部分。
ここにはそのサーバーのホスト情報が記載されています。
よく見かけるドメインなので改めて調査する必要もないと思いますので割愛！
きっとホストの位置情報は東京と出るはずです。

あんたの方がよっぽど疑わしいよ

では、本文です。

まず、宛名。
「***様」の”***”は、受信したメールアドレスのアカウント部分(@より前の部分)が
書かれています。
当然差出人はメールアドレスをどこかのから流出した名簿から入手してるだけなので
こちらの氏名など知る由もありませんからね。

そして本文に何度も出てくる「あなた」
これも宛名同様にこう呼ぶしかありませんもんね。(笑)

それにしても「疑わしいIPアドレス」ってどんなIPなんでしょうか？
IPに良い悪いなんてあるんでしょうか？
あるなら”あんたのIPの方がよっぽど疑わしい”と思ううんだけど…

読み返すとやはり日本語の使い方に違和感アリアリ。
「すべてのステップを完成してください」なんて言わないし。
「あなたのアカウントではいかなる商品も買えません。」なんて冷たすぎるし。。。

詐欺サイトは香港のホストにあり

日本語がでたらめだろうが何だろうが、結局目的は詐欺サイトに誘導しフォームで
アカウントを入力させ詐取すること。

そのリンクが本文の赤いボタン。
そしてリンク先URLがこちらです。

ドメインは「lyxyg.com」
楽天がこのようなおかしなドメインを使うはずがありません！

例によってこのドメインも調査してみます。

ありゃりゃ、ほとんどプライバシー保護されていますね。
それに割り当て国も不明と。。。
なら他のサイトで調べてみます。

このサイトでは”香港”と特定されました。
どうやら詐欺サイトは”香港”に設置されたホストで運営されているようです。

接続してみると…

何度か警告された後、よくある偽のログインページに接続されました。

多くは言いませんが、このような日本語のスキルの低いメールに騙されはしないと
思いますが、一応注意喚起させていただきました。
どうか皆さん、お気をつけてお過ごしください！