『詐欺メール』メルカリから「【重要】事務局からのお知らせ」と、来た件(第5条編)

「メルカリ」なりすましメール急増中!!
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
 

色々手を変えてきます

「メルカリ」になりすましたフィッシング詐欺メールがこのところ猛威を振るっております。
ただ、今のところ作成者は同一人物で「さくらインターネット」のユーザーで
リンクする詐欺サイトは、隣国にある詐欺サイトマンションで運営されています。

今回ご紹介するのはこちらのメール。

件名は
「[spam] 【重要】事務局からのお知らせ」
これは他の「メルカリ」なりすましと同じですが、本文の内容が少しづつ変えられています。
ちなみに”[spam]”はスパムスタンプと言うもので、サーバーに備わったセキュリティー
フィルターがこのメールに反応を示したもの。
このスタンプでこのメールに悪意があることを教えてくれています。

差出人は
「”メルカリ” <ihn@mercari.jp>」
とされていますが、これはウソで偽装。

ではその嘘をメールをヘッダーソースから解析してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<ihn@mercari.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<5D999F076C585830BAA2AC0AD228859A@mercari.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。
Received:「from mercari.jp (unknown [163.43.129.48])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
IPアドレスの直前に”unknown ”と書かれているのは、IPにドメインが
割当てられていない証拠。
よって、この”oxhfmqvv@mercari.jp”ってメールアドレスは偽装です!

では、このIPアドレスを使ってそのサーバーの位置情報などを拾ってみましょう!

やはりこのメールも他の「メルカリ」のなりすましと同じようjに「さくらインターネット」
ユーザーから発信されたようです。

最近こればっかりで…(^^ゞ

最近「メルカリ」系ばかりじゃん、って言わないでくださいよ。
とにかく注意喚起のためのエントリーですから…(^^;

さて、本文。

いつもご利用いただきありがとうございます。

現在メルカリでは、皆さまにより安心・安全にアプリをご利用いただけるよう各機関と
連携のうえマーケットの健全化に努めており、利用規約「第5条」に基づき、
随時お客さまのご本人確認やご利用状況の確認を実施しております。

「利用規約「第5条」」だか何だか知りませんが、なんだかんだ言いつつリンクを
押させるのが奴らの第一の目標。
そのリンク先のURLがこちらです。

ここに使われているドメインを解析します。
ってか、何通も受け取ってるのでもうわかってますけどね、一応…(^^ゞ

ほらね、やっぱりドメインの申請者は他のと同じ人物。
登録住所は「中国・広西チワン族自治区」
そしてこのドメインを割当ててるIPアドレスから導き出した割り当て国はお隣の国。

詳しい位置は例によって「隣国の京畿道(キョンギドウ)安養市(アニャンし)」
そう、詐欺サイトマンションのあるところです。

最近「さくらインターネット」+「京畿道・安養市」ってこればっかり。
パターンかされつつありますね(-_-;)

ちょっとリンク先を覗いてみました。

まずこのメッセージ。

なんとなく雰囲気変わりましたね、ウイルスバスターの警告表示(笑)

ブロックされたサイトにアクセスを試みると。

案の定、メルカリのログイン画面を模したコピーページが現れました。

引続き適当に入力して先に進むと…

適当なメールアドレスを打込んだので実際に認証番号が届いたかどうかは分かりませんが
こんなパターンで情報を盗み取られていきます。

まとめ

私はメルカリしてないのでうっかりしようがどうしようが引っ掛かることはありませんが
もし、メルカリでアカウントを持って個人売買を行ってらっしゃる方はご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メール【重要】事務局からのお知らせ,IPアドレス,mercari.jp,Message ID,Received,Return-Path,SMS,SPAM,さくらインターネット,ジャンクメール,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メール,メルカリ,ワードサラダ,京畿道,利用規約「第5条」,安養市,完コピ偽サイト,拡散希望,注意喚起,著作権法違反,詐欺,詐欺サイト,詐欺サイトマンション,詐欺メール,調査,迷惑メール,重要

Posted by heart