『詐欺メール』偽「 【速報版】カード利用のお知らせ(本人ご利用分)」と、来た件

差出人は、さくらインターネットユーザー？！

楽天カード利用の速報メールを偽ったちょっとヤバいフィッシング詐欺メールです。

これが今回届いたメール。

で、これが本物の速報メール。

本物そっくりですね(;^_^A
こりゃ騙されそうだわ…
当然と言えば当然ですが、偽物には、本物に無い詐欺サイトへのリンクが追加されています。

では、メールのプロパティーから。

件名は
「[spam] 【速報版】カード利用のお知らせ(本人ご利用分)」
楽天からくる本物の速報メールのタイトルと全く同じですが、受信したサーバーの
セキュリティーが反応して”[spam]”が付けられていますから一目に迷惑メールの類だと
わかりますね！

差出人は
「”楽天カード株式会社” <contaca@mawjdjg.com>」
まぁよくもこんなハチャメチャなメールアドレスを使うものです。
こんなところ簡単に偽装できるんでウソでもいいから楽天のアドレス使えばいいのに(笑)
この”mawjdjg.com”ってドメインの持ち主を確認してみます。

「さくらインターネット」とできてました。
「さくらインターネット」は、有名なレンタルサーバー屋さん。
このドメインが差出人本人のものならこの差出人は、このプロバイダーのユーザーって
ことになります。
いちいち連絡はしませんが、「さくらインターネット」に確認すればすぐに犯人は見つかる
と思われます。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

”Received”に書かれてるIPアドレス見覚えがありますよね？
先程の”mawjdjg.com”ってドメインの持ち主調べたときに出てきたIPと同じ。
この差出人は、偽装することなく自身が持つメールアドレスでこのメールを送ってきた
事がこれで判明しました。

偽サイトはXserverユーザー？！

本物にはなかった、赤いリンクボタン。
これが詐欺サイトへつながります。
接続先のURLはこうなっていました。

これまた楽天には全く関連の無いドメインを使ったURLですね。

では、このドメイン付いても情報を拾ってみましょう！

この情報から分かることは、「対応するIPアドレスがありません」って事なので
何らかの形で検索を拒否されたか、このIPは使われていないかのどちらかですね。

これは後に分かりますので後回しにして、ツラツラと下の方へ読んでいくと。
「Registrar WHOIS Server: whois.star-domain.jp」とあるので、このドメインの管理は
「スタードメイン」さんと言う会社に委託していることが分かります。

そして、「Registrant Name: Xserver Xserver Inc.」と書かれているので、この詐欺サイトを
運営しているのが、こちらも大手レンタルサーバー会社の「Xserver」さんのユーザーって
事になりますね。
これも、調べればすぐにユーザーは見つかるはずです。

リンク先はこのようなページが開きました。
そう、楽天のログイン画面です。
もちろん偽のコピーサイト。

先程、「対応するIPアドレスがありません」って事でしたが、やはり何らかの方法で
検索されるのを拒否していたようです。

まとめ

今回のメールは、実際にあるメールをまねているのでメールアドレスに気づかなければ
騙されてしまう人も多いかもしれません。
ただ、メールアドレスにしろURLにしろ国内有名なレンタルサーバーさんのユーザーなので
早かれ遅かれ収束閉鎖に追い込まれることでしょう。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;