『詐欺メール』偽「 【速報版】カード利用のお知らせ(本人ご利用分)」と、来た件

迷惑メール

これ、ヤバくない?
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
 

差出人は、さくらインターネットユーザー?!

楽天カード利用の速報メールを偽ったちょっとヤバいフィッシング詐欺メールです。

これが今回届いたメール。

で、これが本物の速報メール。

本物そっくりですね(;^_^A
こりゃ騙されそうだわ…
当然と言えば当然ですが、偽物には、本物に無い詐欺サイトへのリンクが追加されています。

では、メールのプロパティーから。

件名は
「[spam] 【速報版】カード利用のお知らせ(本人ご利用分)」
楽天からくる本物の速報メールのタイトルと全く同じですが、受信したサーバーの
セキュリティーが反応して”[spam]”が付けられていますから一目に迷惑メールの類だと
わかりますね!

差出人は
「”楽天カード株式会社” <contaca@mawjdjg.com>」
まぁよくもこんなハチャメチャなメールアドレスを使うものです。
こんなところ簡単に偽装できるんでウソでもいいから楽天のアドレス使えばいいのに(笑)
この”mawjdjg.com”ってドメインの持ち主を確認してみます。

「さくらインターネット」とできてました。
「さくらインターネット」は、有名なレンタルサーバー屋さん。
このドメインが差出人本人のものならこの差出人は、このプロバイダーのユーザーって
ことになります。
いちいち連絡はしませんが、「さくらインターネット」に確認すればすぐに犯人は見つかる
と思われます。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<contaca@mawjdjg.com>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<005853777cc8$eee25f99$e5126659$@pqy>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received:「from qwe0.mawjdjg.com (tk2-241-30273.vs.sakura.ne.jp [160.16.199.27])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

Received”に書かれてるIPアドレス見覚えがありますよね?
先程の”mawjdjg.com”ってドメインの持ち主調べたときに出てきたIPと同じ。
この差出人は、偽装することなく自身が持つメールアドレスでこのメールを送ってきた
事がこれで判明しました。


偽サイトはXserverユーザー?!

本物にはなかった、赤いリンクボタン。
これが詐欺サイトへつながります。
接続先のURLはこうなっていました。

これまた楽天には全く関連の無いドメインを使ったURLですね。

では、このドメイン付いても情報を拾ってみましょう!

この情報から分かることは、「対応するIPアドレスがありません」って事なので
何らかの形で検索を拒否されたか、このIPは使われていないかのどちらかですね。

これは後に分かりますので後回しにして、ツラツラと下の方へ読んでいくと。
「Registrar WHOIS Server: whois.star-domain.jp」とあるので、このドメインの管理は
スタードメイン」さんと言う会社に委託していることが分かります。

そして、「Registrant Name: Xserver Xserver Inc.」と書かれているので、この詐欺サイトを
運営しているのが、こちらも大手レンタルサーバー会社の「Xserver」さんのユーザーって
事になりますね。
これも、調べればすぐにユーザーは見つかるはずです。

リンク先はこのようなページが開きました。
そう、楽天のログイン画面です。
もちろん偽のコピーサイト。

先程、「対応するIPアドレスがありません」って事でしたが、やはり何らかの方法で
検索されるのを拒否していたようです。


まとめ

今回のメールは、実際にあるメールをまねているのでメールアドレスに気づかなければ
騙されてしまう人も多いかもしれません。
ただ、メールアドレスにしろURLにしろ国内有名なレンタルサーバーさんのユーザーなので
早かれ遅かれ収束閉鎖に追い込まれることでしょう。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました