サイトアイコン HEARTLAND

『詐欺メール』「セキュリティ警告: 誰かがあなたのアカウントにサインインしようとしています よりご確認下さい」と、来た件

件名からして意味不明…
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

”.cc”ドメインにご注意ください

週末にかけてジャンクメールが立て続けに届いています。
今回は、件名からして意味不明なフィッシング詐欺メールです。
こんなので誰か騙せるんだろうか? と、こっちが心配になってしまいます(笑)

こちらがそのメールです。
存分に笑ってやってください!(笑)

件名は
「[spam] [楽天] セキュリティ警告: 誰かがあなたのアカウントに
サインインしようとしています よりご確認下さい」

こんなの”[spam]”ついてなくても誰でも分かるでしょう!
「よりご確認下さい」って主語どこ行ったんだ?!(爆)

差出人は
「Rakuten <no-reply@ewxkhgjf.cc>」
またまたぁ~、どこの楽天が”ewxkhgjf.cc”なんてどこの馬の骨か分からんようなドメインの
メールアドレスで配信するの?

.cc”ってドメインは、オーストラリア領ココス諸島に割当てられてるトップレベルドメインで
格安ドメインとして有名。
こういった、犯罪まがいの輩は、短期間使ってすぐに捨ててしまうので格安ドメインを使い
詐欺犯罪を冒しています。

ではこの”ewxkhgjf.cc”ってドメインを使ってメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: <no-reply@ewxkhgjf.cc>

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:<20210903074039555714@ewxkhgjf.cc>

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received: from mail0.ewxkhgjf.cc (ewxkhgjf.cc [45.147.200.99])

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!
Received”の「ewxkhgjf.cc [45.147.200.99]」って書き方からすると、ドメインとIPは
マッチングしていますね。
一応確認してみます。

やはりIPとドメインはピッタリマッチングしていますね!
このドメインの申請者は、東京都渋谷区桜が丘町にあるとあるマンションの在住者。
申請日は、9月1日だからおとといですね。
そしてこのIPアドレスは、現在ロシアで使われているようですね。
と、言うことは、このメールはロシアにあるサーバーから送られてきたことになります。


らくとん??

こちらが本文。

*****@******.***様

弊社のモニタリングにより。普段と違う不審なログインが見つかり。
誰かがお客様のいつもお使いになった支払方法を変更しようとしていたそうです

ログイン日時:2021/9/3 7:40:38

IPアドレス:232.5.12.651

デバイス: ipad Air

場所:おおさかふ

会員個人情報を確認する必要があります。今アカウントを確認できます。

続けるにはこちらをクリック

宛名は私のメールアドレス。
正規楽天からのメールの宛名はいつも私の氏名になっいるので不信感ありあり!
どこからか入手したアドレスリストを使って送られたんで、当然こちらの氏名など
知る由もありません。

内容としてはよくある第三者の不正利用。
「誰かがお客様のいつもお使いになった支払方法を変更しようとしていたそうです」
などと他人事のような書き方なので、差出人は日本人の可能性は低いと思います。

「ログイン日時、IPアドレス、デバイス、場所」などと箇条書きに書いてありますが
当然全部ウソ!
IPアドレスは現在使われていないものでした。

「続けるにはこちらをクリック」と書かれたところに詐欺サイトへのリンクが
施されています。

そのリンク先のURLがこちらです。

rakuton…らくとんって(^-^;
使われているドメインは”rakuton.jp.co5jmch2.cc
また”.cc”使ってるし(笑)

このドメインも当然調査。

当然と言えば当然なのかも知れませんが、申請者は先のメールアドレスに使われてた
ewxkhgjf.cc”ってドメインと同じ住所で同じ方。

ここでは、割り当て国がアメリカとなっていますが、このサイトの位置情報は??なので
他の箇所で確認してみます。

こちらのサイトでは、ヨーロッパにあるルクセンブルクが表示されました。
もう一か所のサイト検索でも同じ国が出たんでここで間違いないと思います。

さて、ここでどんな詐欺サイトを運営しているんでしょうか?
気になりますよね?
では。。。

案の定、楽天のログインページが開きました。
とでも間延びしたウェブページですね。
もちろん完コピ偽サイトですのでご注意を。


まとめ

まぁほんとに件名だけ変えて中身はいっつも同じ。
こんなメールじゃ誰一人騙せないでしょうね(笑)
大体件名から笑えるメールもそうそうありませんもん!
では、お気をつけてお過ごしください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了