『詐欺メール』「楽天安全異常は更新待ちです」と、来た件

件名の日本語崩壊ぶりときたら…

これは昨日の日曜に届いていたフィッシング詐欺メール。
内容は何度も見てきたものと同じでアカウントが更新できなかったんで指示した
サイトにログインして更新しろってヤツ。

ただし、この件名で送られてきたのは初めてなので一応ご紹介を。

件名
「[spam] 楽天安全異常は更新待ちです」
なんですかこの日本語は？「楽天安全異常」ってなに？(笑)
メールの作者はもう絶対日本人じゃないでしょ？！
これで騙せるとでも思っているんでしょうか？

そして差出人
「”Rekuten.co.jp” <izfp@blzmlx.cc>」
”blzmlx.cc”って、どこの楽天がこんなドメイン使いますの？
それにこのドメイン使われてないものじゃん。

コイツどのサーバーからメール送ってるのか、ちょっと調べてみます。

これは、このメールのヘッダーソースにある差出人が利用したであろう送信サーバーの
ホスト情報。
末尾の数字4つがそのホストのIPアドレスになります。
このIPアドレスを使って位置情報を確認してみます。

差出人は、シンガポールにあるメールサーバーを使ってジャンクメールを送っいることが
分かりました。

（01)-50-5830-6860

この部分だけなぜか気持ち悪い中華フォントで表現されていますが
何か意味あるんでしょうか？
このフォントは”Yahei”って呼ばれる中国語フォントです。
それにしても不気味なフォントですよね…

そしてこの「（01)-50-5830-6860 」って電話番号。
検索してみれば一目瞭然ですが、この番号は質の悪い悪質メールによく記載されています。
日本の固定電話番号って10桁なんですよね。
でもこの01から始まる番号は12桁。
もしかしたら日本国外の番号か国産電話番号かも知れませんね。
まぁ深追いするのはやめておきますが…

このようなフィッシング詐欺メールは、不安を煽った上に不審な詐欺サイトへ誘導し詐欺を
実行しようとします。
このメールにもご多分に漏れず偽のコピーサイトへのリンクが張られています。

”rakuten.co.jp”とあるので一瞬騙されそうですが、実際にこのURLのドメインはそこじゃなく
”svrrrk.shop”って部分。

興味があるのでこのドメインを少し調査してみました。

これで見ると、ドメインの申請は中国からで”guang xi”と書かれているので中国の自治区で
”広西チワン族自治区”が申請の住所とされていますが、それ以外はすべてプライバシー保護
となっていました。
また、このドメインは”14.128.37.233”ってIPアドレスに割当てられてて、その運用先は
シンガポールと出ています。

接続してみると。

トレンドマイクロのウイルスバスターが即座に反応し遮断されてしまいました。
それでも無理やり先に進むと…

楽天の偽ログインページが表示されました。
いわゆる、フィッシング詐欺サイトです。

まとめ

件名を見ただけでそれと分かるフィッシング詐欺メールでしたね。
本文の書き出しにある”Rakutenお客様”って部分も詐欺メールを見分ける一つの手段。
だって差出人はこちらの氏名知らないのでこうなるわけです。
とにかくいつも書くように、こういったショッピングサイトからのメールは、付けられた
リンクは絶対に開かず、スマホアプリを利用してログインしてください。