『詐欺メール』メルカリから「【重要】事務局からのお知らせ」と、来た件

2021年9月30日

これからはコミュニティーサイト狙いかも

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

”Yahei”フォントやめれぇ～

週の真ん中、仕事したいのにジャンクメールの集中攻撃。(-_-;)
今度は「メルカリ」

これまた例によって背筋がゾクゾクするような”Yahei”って中華フォント。
読みにくいんだよね～

ではプロパティから

件名は
「[spam] 【重要】事務局からのお知らせmercari.com」
”[spam]”が付けられています。
これは受信サーバーは反応し付加した情報で、これがあるメールは悪意のあるものとみなされます。
「【重要】事務局からのお知らせ」とあるので、メルカリユーザーなら気になりますね！

差出人は
「メルカリ <rs@mnercari.com>」
はい、よーく見てください。

これが本家のドメイン”mercari.com”
そして偽物のドメイン”mnercari.com”

やっちゃってますね(笑)

ではこのメールをヘッダーソースから調査してみます。

ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<rs@mnercari.com>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<C41F4FA7053953FCB68EB20F7EEC24E5@mnercari.com>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received:「from mnercari.com (v150-95-222-37.15j2.static.cnode.io [150.95.222.37])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

おっ「static.cnode.io」って久しぶりですね！休暇明けですか？(笑)

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！
ってか”static.cnode.io”は調べるまでもなく東京都心なんだよね～、ほら。

韓国に詐欺サイト団地が？！

では本文です。

何とかして押させたい詐欺サイトへのリンクが1つで飽き足らず3か所も(笑)
で、そのリンク先のURLがこちら。

”.cn”なんてあからさまに中国のトップレベルドメインですね…(^-^;

このドメインについても調査してみましょう。

よく見かける登録者氏名が見えます。
「阿里云计算有限公司」はこのドメインの管理を委託されている企業様でしょう。

運用国は「韓国」のようですね。
もう少し詳しく位置を拾ってみましょう。

ご常連ですね、ヤパリここですか。
韓国っていうとこの場所がいつも表示されますね。
ここに詐欺サイトマンションでもあるんでしょうか？(笑)

運営されていたのははやりメルカリの完コピ詐欺サイトでした。

絶対入力しちゃだめですよ！

まとめ

ヤバイヤバイ
いろんなコミュニティーサイトだとなんだかんだ理由付ければ、意外と楽に本人確認
させることできそうですもんね。

いや、まだまだ増えそうですね…(;^_^A

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)