『詐欺メール』「[楽天] アカウントか制限されています、支払い情報の復旧」と、来た件

2021年10月26日

件名から怪しさが漂うメール

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

1. もう、笑わせに掛ってますね
2. モスクワからのメールだった！
3. リンクは偽装されています
4. ちょっとだけ詐欺サイトへ
5. まとめ

もう、笑わせに掛ってますね

今回ご紹介するのは、もう見るからに怪しい楽天に成りすました詐欺メールです。

詳しくは図中に書いておきましたが、件名も差出人のメールアドレスも、一目でそれと
分かるようなもの。

では、プロパティーから見ていきます。

件名は
「[spam] [楽天] アカウントか制限されています、支払い情報の復旧」
”[spam]”ってスパムスタンプ見るまでもなく、一目で怪しいメールと分かりますよね。
「アカウントが」じゃなく「アカウントか」となっています。
いくら何でもこんな間違え方しないでしょう？(笑)

差出人は
「”Rakutenc” <no-reply@raddciyiyu.jp>」
なんですかこのオロナミンCみたいな“Rakutenc“ってのは？？
もしかして笑わせに掛っています？
それに楽天なのに”raddciyiyu.jp”なんて全然関係の無いドメイン…(;’∀’)

モスクワからのメールだった！

ではこのおかしなメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<no-reply@raddciyiyu.jp>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20211025230104537171@raddciyiyu.jp>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail0.raddciyiyu.jp (raddciyiyu.jp [91.229.91.203])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

この結果から、このIPアドレスには”raddciyiyu.jp”というドメインが割当てられている
ことが分かります。
そう、差出人のメールアドレスにあったドメインと同じものなので、差出人はメールアドレス
を偽装することなくメールを送信してきたようです。
そしてこのIPアドレスは、現在ロシアの首都モスクワにある”ゼレノグラード”と言う街にある
メールサーバーを使って送られてきたことも分かりました。

では、今度はこの”raddciyiyu.jp”というドメインの持ち主を調べてみます。

詳しい情報はマスクされていますが、登録者は「にほんご」なんておちゃらけた名前で
登録しています。
そして、管理登録は「お名前.com」さんに委託していることも分かりました。

「お愿い」ってどう読むの？！

続いて本文を確認していきます。

■ いつも楽天市場をご利用いただきありがとうございます。
弊社のモニタリングにより。普段と違う不審なログインが見つかり。
誰かがお客様のいつもお使いになった支払方法を変更しようとしていたそうです

お忙しいところ大変恐れ入りますが、下の【お問い合わせ窓口】まで、
なお、ご契約いただいているカードについては、第三者による不正使用の、
詐欺の可能性があるからです、システムは楽天アカウントを一時停止しました、
保留中のご注文やサブスクリプションをキャンセルいたしました。

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何卒，よろしくお愿い申し上げます。

そのまま貼り付けてみました。
「■ いつも楽天市場を」から始まる最初の項は、アマゾンの詐欺メールにも使われている
「しようとしていたそうです」なんて他人事のようなニュアンスの文章。
それに句読点の使い方も間違っています。

「お忙しいところ」から始まる2項目も、「【お問い合わせ窓口】まで」で文章が切れたり
前の項以上に句読点の使い方が間違っていますね。

そして3項目は、とどめの「お愿い」…
きっと「お願い」なんでしょうけど、私は、どう読んで良いのか分かりません。(;^_^A

この後に詐欺サイトへのリンクへのお誘いが数行あって、最後の項はこう書かれていました。

アカウントへのアクセスを再开するには，サインインして画面の指示に従ってください。
必要な情报をご提供いただいたら，当サイトで调查の上，24时间以内に返信いたします。
お客様のセキュリティは弊社にとって非常に重要なものでございます。
ご理解の程、よろしくお願い申し上げます。

もしかして、ご覧いただく環境によっては、文字化けしてうまく見えないかもしれません。
話の流れで何とか読むことができますが、この文字だけ出されたら読めないかもしれません。
これは中華フォントのなせる業です。(汗)

リンクは偽装されています

では、その本文に書かれているテキストリンクについて調べてみます。
まず「楽天口座をこちらで確認してください」と書かれた上の段はこちら。

考えてみると「楽天口座」ってのもおかしな表現ですよね？(笑)
「楽天でご利用の口座」って書くのが自然だと思いますが…

そして「よくあるご質問はこちらから」と書かれた下の段がこちら。

騙されてはいけません。
実はこれ、どちらも偽装でつながる先は同じところで、そのリンク先のURLがこちら。

楽天がこのようなドメインを使ったURLでサイトを運営すると思いますか？
思いませんよね。。。(;^_^A

このドメインについても調べると。

これも詳しいことはマスクされていましたが、持ち主は東京の方で、GMOにドメイン管理を
委託しています。
そしてこのドメインを割当てているIPアドレスは”195.133.8.205”で、その割り当て国は
またしても「ロシア」
では、このIPアドレスを利用してその詳しい位置を探ってみます。

「ロシア・モスクワ・ゼレノグラード」と出ましたから、メールアドレスのドメインと
同じところのようですね。

ちょっとだけ詐欺サイトへ

では、この場所にあるウェブサーバーでどのようなサイトを営んでいるのでしょうか？
見に行ってきました。

おなじみのウイルスバスターによる接続の遮断画面です。
既にこのサイトは危険だと周知されているようです。

ブロックされたサイトに向け更に進むと、見慣れた楽天のログイン画面が表示されました。

ここにユーザー情報を入力しログインボタンを押すと、そのIDとパスワードは詐欺犯に
知られてしまうことになります。
久しぶりにでたらめなIPとパスワードでログインしてみましょう。

すると、支払い方法を更新させるためのそれらしいコメントが書かれたページが
表示されました。
相変わらずURLのドメインは”co-jp.rlaiknier.shop”のままです。
「続ける」と書かれたボタンを押してみます。

すると、まず個人情報を入力するフォームが開きました。
もちろんここを全て埋めてしまうと、個人情報も詐欺師側に詐取されてしまいます。
適当に入力して先に進んでみます。

予想通り、今度はクレジットカードの情報を求められました。
ここを埋めて「以下の規約に同意し入力内容を確認する」ボタンを押してしまうと、
クレジットカードの情報まで盗み取られ、詐欺被害に遭うことになります。

これがフィッシング詐欺メールの全容です。

まとめ

最後までお読みくださりありがとうございます。
久しぶりに詐欺被害に遭うの流れまでやってみました。
このメールの場合、件名からして怪しすぎるので被害に遭う方は居ないかも知れませんね。
でも中には、非常に巧妙な詐欺メールもありますので、金融機関やショッピングサイトからの
メールは常に注意を払う必要があります。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)