サイトアイコン HEARTLAND

『詐欺メール』「楽天市場情報の確認と更新」と、来た件

おなじみな内容ながら…
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

存在しないドメインのメールアドレス

これは、楽天市場を騙ったフィッシング詐欺メールです。
内容は昔からあるカードの情報が更新できなかったので、リンクから情報を確認を促すもの。

差出人は
「”TS3″ <neeppm@zajb.asia>」
”TS3”ってなんだろう?と思い調べてみると、トヨタファイナンスが運営するカードユーザー
向けのWebサービスでした。
ちなみにこの”TS3”が利用するドメインは”my.ts3card.com””zajb.asia”ではありません。
そしてこのドメインは使われてないもので嘘のメールアドレスでした。

件名は
「[spam] 楽天市場情報の確認と更新」
この件名としては初めて受け取るものですが、内容は先程も書いたように今までにも何度も
受け取っている日本語に少々難ありなもの。
”[spam]”はご承知の通り、うちのサーバーが記したジャンクメールを知らせるための
スパムスタンプです。


発信元サーバーはシンガポールに?!

差出人のアドレスが嘘とすると、このメールはどこから送られてきたのでしょうか?
メールのヘッダーソースにある”Received”って項目を確認します。
”Received”は、送信、受信サーバーが自動で書き込む自局のホスト情報。
1通のメールのヘッダーソース内にいくつか存在する”Received”ですが、時系列の古いもの
から順に並ぶので、最下段にあるものが最初の”Received”で、差出人が利用した送信
サーバーのホスト情報で、それがこちら。

末尾の数字がそのサーバーに割り当てられたIPアドレス。
このアドレスをとあるサイトで調べてみると…

シンガポールで使われているIPアドレスだと分かりました。
ということは、このメールの差出人はシンガポールに設置されたメールサーバーを介して
このメールを送信したことになります。


例によって完コピ偽サイトへ

見飽きた内容のメール本文ですが、気になるのはお決まりの詐欺サイトへのリンク。
本文中にある赤い「情報の確認と更新」と書かれているボタンにそのリンクは張られて
います。
そのURLがこちらです。

”rakuten.zzjidr.cn”ってドメインの所在を割当てられてるIPアドレスから調べてみます。

これによると、このドメインを割当ててるIPアドレスは”180.215.0.50”と分かりました。
このIPアドレスが利用されている位置を確認すると、香港が表示されました。

危険を承知でこのリンク先を訪れてみました。
すると…

Googleから警告を受けてしまいました。
「詳細を見る」ボタンを押して確認してみると。
やはり詐欺サイトとの認識です。

更に危険を冒し遮断されたサイトへ接続してみます。
すると、これも見慣れた楽天の完コピ偽ログインページが表示されました。

ここでIDとパスワードを入力し先へ進んでしまうと、あなたがお持ちの楽天会員情報が
盗み取られることになるのでご注意ください。


まとめ

何度も受け取っている内容のメールでしたが、今までに無い初めての件名でしたので
件名で検索される方もいらっしゃるだろうと思いご紹介させていただきました。

今回の調査では、メールサーバーがシンガポールで、ウェブサーバーが香港にあることが
突き止められました。
こういったメールはほぼ海外サーバーを利用することが多く、メールアドレスもほぼ
偽装されていますので差出人名やメールアドレスを鵜呑みにせず、本文の日本語の
使い方やリンク先のアドレスなどに注意を払うことを心がけましょう。

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了