『詐欺メール』メルカリから「【重要】事務局からのお知らせ」と、来た件(第5条編)

色々手を変えてきます

「メルカリ」になりすましたフィッシング詐欺メールがこのところ猛威を振るっております。
ただ、今のところ作成者は同一人物で「さくらインターネット」のユーザーで
リンクする詐欺サイトは、隣国にある詐欺サイトマンションで運営されています。

今回ご紹介するのはこちらのメール。

件名は
「[spam] 【重要】事務局からのお知らせ」
これは他の「メルカリ」なりすましと同じですが、本文の内容が少しづつ変えられています。
ちなみに”[spam]”はスパムスタンプと言うもので、サーバーに備わったセキュリティー
フィルターがこのメールに反応を示したもの。
このスタンプでこのメールに悪意があることを教えてくれています。

差出人は
「”メルカリ” <ihn@mercari.jp>」
とされていますが、これはウソで偽装。

ではその嘘をメールをヘッダーソースから解析してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報などを拾ってみましょう！

やはりこのメールも他の「メルカリ」のなりすましと同じようjに「さくらインターネット」
ユーザーから発信されたようです。

最近こればっかりで…(^^ゞ

最近「メルカリ」系ばかりじゃん、って言わないでくださいよ。
とにかく注意喚起のためのエントリーですから…(^^;

さて、本文。

「利用規約「第5条」」だか何だか知りませんが、なんだかんだ言いつつリンクを
押させるのが奴らの第一の目標。
そのリンク先のURLがこちらです。

ここに使われているドメインを解析します。
ってか、何通も受け取ってるのでもうわかってますけどね、一応…(^^ゞ

ほらね、やっぱりドメインの申請者は他のと同じ人物。
登録住所は「中国・広西チワン族自治区」
そしてこのドメインを割当ててるIPアドレスから導き出した割り当て国はお隣の国。

詳しい位置は例によって「隣国の京畿道(キョンギドウ)安養市(アニャンし)」
そう、詐欺サイトマンションのあるところです。

最近「さくらインターネット」+「京畿道・安養市」ってこればっかり。
パターンかされつつありますね(-_-;)

ちょっとリンク先を覗いてみました。

まずこのメッセージ。

なんとなく雰囲気変わりましたね、ウイルスバスターの警告表示(笑)

ブロックされたサイトにアクセスを試みると。

案の定、メルカリのログイン画面を模したコピーページが現れました。

引続き適当に入力して先に進むと…

適当なメールアドレスを打込んだので実際に認証番号が届いたかどうかは分かりませんが
こんなパターンで情報を盗み取られていきます。

まとめ

私はメルカリしてないのでうっかりしようがどうしようが引っ掛かることはありませんが
もし、メルカリでアカウントを持って個人売買を行ってらっしゃる方はご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;