『詐欺メール』楽天から「パスワードの変更完了のお知らせ」と、来た件

来るはずの無い楽天からのメール

楽天からパスワードが変更されたとの件名でメールが届きました。
気が付いたのは今朝のメールチェックで送信日時は昨夜の10時過ぎとなっています。

もちろんそんな時刻にパスワードの変更などしてないし、楽天にログインすらしていません。
と言うか、受け取ったメールアドレスは仕事用で通販のユーザー登録などプライベートには
使用してないアドレス。
ですから、このアドレスに楽天からメールが届くはずありません(笑)

差出人は

「Rakuten楽天銀行 <myinfo@rakuten.co.jp>」

こんなの全く信用できません。
それを見破る方法は、メールにあるヘッダーソースの解析です。
ヘッダーソースにある”Received“って項目を探します。
“Received“フィールドは通過したサーバーが自身で刻む自局情報です。
一番最初に通過するサーバーは、差出人が使う送信サーバーになるので、この”Received“で
一番下に見えるのがそれです。

下の図は、今回受け取ったメールのヘッダーソースの一部。
赤で囲った”Received”がその差出人が利用した送信サーバーのホスト情報。

これによると、以下のように書かれています。

この中で”165.154.18.111”って書かれてい、それを調べることでその位置情報を
おおよそ掴むことができます。
このIPアドレスを使ってとある検索サイトで調査してみるとこのような結果が…

あくまでおおよその位置情報ですが。。。

変更が変更って？？

少しだけ本文にケチをつけてみます。

サラサラと読むと気付かないかもしれませんが、赤字で表示した部分。

「パスワード変更が変更されました」

パスワード変更が変更ってどういうこと？
やっぱり今回のも海外の方がお作りになったメールのようですね(^▽^;)

フィッシング詐欺メールに付きものの詐欺サイトへのリンクですが、このメールでは
どうなっているんでしょうか？

以下の図のように、本文中にURLが直書きされていました。

普通はリンクが付いているんですが、このメールはただ単にURLが直に書かれています。

「www_rekutan_co_jp.oku520.top?Login」

このURLに使われているドメインは”oku520.top”
”.top”ってトップレベルドメインは、犯罪サイトなどに使われることの多いドメインですので
見かけた際は要注意です。

英語の警告ページが！

試しにこのURLのサイトへ行ってみることに。
メールからURLをコピーしてブラウザのアドレスバーに貼付けてEnter。

すると早速このような表示が。

赤字のところを訳してみると。

赤いボタンを押して無理やり先に進んでみると。

楽天のログインページが表示されました。
もちろん偽のサイトです！

このサイトに使われている”www_rekutan_co_jp.oku520.top”ってドメインも
先ほどのIPアドレス同様に調査してみます。

アメリカカリフォルニア州のサンフランシスコと表示されました。
それで英語の警告か。
どうやら犯人はこの地でサーバーを運営し先程の偽サイトを立ち上げているんですね。

今回のメールは、いわれのないパスワード変更を装い、受信者を詐欺サイトへ誘導し
ログインする際に入力したユーザ情報を詐取しようとしたものです。
免疫の無い方だと、慌ててリンクからログインしてしまう可能性があります。
楽天に限らず、アマゾンやYahoo!でもスマホアプリからログインすれば安全です。
間違ってもリンクはたどらないでください！