『詐欺メール』「【PayPay】ご利用のお知らせ」と、来た件

処理が追いつきません(^^ゞ
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
 

「PayPay」から来た怪しいメール

マジ、詐欺メール多すぎて処理が追いつきません!
これ、今朝のメールボックスに届いていた詐欺メールの一覧。
一晩でこれだけ届くんだから困ったものです。

最近は”ETC利用照会サービス”ってのがトレンドなんですが、PayPay絡みも結構たくさん
届いています。

今回はこの中から、既出してない「【PayPay】ご利用のお知らせ」ってのにスポットを
あててご紹介しようと思います。

件名は
「[spam] 【PayPay】ご利用のお知らせ」
件名から、第三者の不正利用をにおわせるものになっていますが、残念ながら”[spam]”と
付けられちゃってるんで、悪意のあるメールであることが一目でわかりますね。

差出人は
「”PayPay” <tixyd@paypay-corp.co.jp>」
確かにこのドメインはPayPayの所有物のようですが…

さて、果たして本当に差出人はPayPayなんでしょうか?

差出人は「さくらインターネット」のユーザーか?!

ではメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<tixyd@paypay-corp.co.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<B217325D1946315098D025CEBD82AC09@paypay-corp.co.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。
Received:「from paypay-corp.co.jp (unknown [153.120.139.167])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

”Recevied”のIPアドレスの前に”unknown”と記載のあるものは、ドメインが割当て
られてないことを示します。
ということは、差出人は”paypay-corp.co.jp”ってドメインとは違うサーバーから
メールを送ってきたことは明らかです!

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!
位置はもとより、この結果からメールの送り主はどうやら大手レンタルサーバーの
「さくらインターネット株式会社」さんのユーザでした。(^^;

あらら、中国ドメインですか…

はい、では本文を見ていきます。

PayPayをご利用いただきまして、ありがとうございます。

PayPayのご利用内容をお知らせします。

ご利用日時:2021年09月18日15:17
ご利用場所:丸井・モディ利用(通販・ネットショッピングを含む)
ご利用金額:8,041円

※本メールは、ご利用・請求を確定するものではありません。

※ご契約がキャンセルとなった場合でも、キャンセル情報のメールは配信されません。

これまた宛名の無い本文ですね。
普通は「~様」って宛名が付きますよね?
この宛名の無いメールは詐欺メールの特徴ですので覚えておいて損はありませんよ!

第三者の不正利用をうかがわせるように、利用日時や利用場所と利用金額などが箇条書きで
書かれていますね。
これは信ぴょう性をもたせるための手段にすぎませんから全部ウソです。

そしてその先には、このように詐欺サイトへのリンクが記載されています。

あらら、ここではあからさまに中国音トップレベルドメインが出ちゃいましたね。(笑)
これじゃすべてが台無しです。
せめてテキストリンクのところだけでも本家のドメインにしとけば良かったんじゃないかと
思ってしまいます。

では、このドメインの詳細情報と所在地などを確認していきます。

「阿里云計算有限公司」はこのドメインを管理する会社さん。
ドメイン登録者のメールアドレスは、日本のYahooドメインになっていますね。
そして申請者の氏名は、日本ではあまり見かけない名字の漢字3文字。
IPアドレスの割り当て国は「韓国」と出ています。

では、ここで表示されたIPアドレスからその位置情報を拾ってみましょうか。

この結果「韓国・キョンギ道・アニャン市」と表示されました。
あくまでアバウトな位置ですが。
この場所、こういった詐欺メールの調査でちょいちょいs出てくる場所なので、この差出人は
常習犯です。

で、その先にあるサイトはどうなっているんでしょうか?

「PayPay」のログイン画面です。
当然完コピ偽サイトですけどね。(-_-;)

まとめ

やっと今朝の分はこれで終わり。(^^ゞ
それにしてもここ最近は以前にもましてフィッシング詐欺メールが増えてきました。
皆様、くれぐれもお気をつけてお過ごしください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メール【PayPay】ご利用のお知らせ,ETC利用照会サービス,IPアドレス,Message ID,paypay-corp.co.jp,paypay-net.cn,PayPayのご利用内容をお知らせします,Received,Return-Path,SMS,SPAM,アニャン市,さくらインターネット株式会社,ジャンクメール,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メール,ワードサラダ,完コピ偽サイト,拡散希望,注意喚起,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要,阿里云计算有限公司

Posted by heart