『詐欺メール』一時利用停止編「【PayPay】ご利用のお知らせ」と、来た件

”paypay”さんの正規ドメインは”paypay.ne.jp”です

以前に同じような件名のメールをご紹介していますが、その時は単なる第三者不正利用を
騙ったものでしたが、同じ件名ながら今回はそれに加えアカウントの一時停止も追加されて
いますので改めてご紹介します。

相変わらず中華フォントのメールですね。(笑)

では、メールのプロパティーから見ていきます。

件名は
「[spam] 【PayPay】ご利用のお知らせ5:11:58」
先頭の”[spam]”は、うちの受信サーバーのセキュリティー装置が付加したスパムスタンプ。
これでこのメールに悪意のあることを受信者に知らせています。
ですからこのメールはスパムメール、すなわち迷惑メール。
末尾の数字は単なるタイムスタンプで、このメールの信憑性を高める目的で付けられている
ものと思われます。

差出人は
「”paypay” <admin@paypayneiougg.com>」
”paypay”さんの正規ドメインは”paypay.ne.jp”ですからこのメールアドレスは”paypay”さん
のものじゃありません。
”paypayneiougg.com”なんてドメインもきっと偽装でしょう。

JCBの詐欺メールを流用？！

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

やはり「さくらインターネット」さんの名前が出てきましたね。

IPアドレスの所在地を調べても「さくらインターネット」さんのサーバーの位置情報しか
捉えられないのでやめておきます。

IPの脅威レベルは「高」

続いて、本文を見ていきましょう。

「アカウントは異なる端末からのアクセスを確認いたしました」とあるので、いつも
利用しているデバイスとは違うデバイスからアクセスがあったって事でしょうね。
それでアカウントが停止されたようです。
でも、よく考えてみると、例えば新しい端末を購入したかもしれないですよね？
そんなことでいちいちアカウントが停止されるのでしょうか？
機種変更していたとしたら、もう一生アカウントは解除されないことになります。(笑)
まぁ、詐欺メールの上げ足取っていても仕方ないんですがね。

ログインして設定しろと書かれている下に例によって詐欺サイトへのリンクが
付けられています。
テキストリンクに書かれているのはこのURL。

きちんと”paypay”の正規ドメインが書かれていますが、そんなのは間違いなくリンク偽装。
本当にリンクされているURLはこちらです。

使われているドメイン”paypay.ne.no-replybe.com”を調査してみました。
このドメインの持ち主は、国内の方で「東京都渋谷区」にお住まいの方。
「Creation Date: 2021-10-25T17:30:54Z」とあるので取得したばかりです。

割当てられているIPアドレスは”155.94.205.253”
このIPアドレスを使って、その割り当て位置を確認してみます。

これによると、割り当て地は「アメリカ・カリフォルニア州・ロサンジェルス」
IPアドレスの脅威レベルは「高」となっているので、相当危険と評価されています。

本当に騙そうとしているの？

危険とされていても見たくなるのが人のサガ。
ってなわけでちょっとだけ覗いてみます。
するとPayPayのログイン画面を模したページが表示されました。
適当に入力し「ログイン」と書かれたボタンを押してみます。

すると、認証番号がSMSで送られたようです。
もちろんでたらめなので、私のスマホには何も届きません。
(認証番号が届いた方すいません…)
適当な数字を6つ入れてみます。

インジケーターがくるくる回るだけでいくら待っても次のページに到達しませんでした。

どんな数字を入れても同じことでしたので、SMSへの認証番号送付なんて嘘でしょう。
ということは、愉快犯ってことになりますね。

まとめ

「さくらインターネット」さんのユーザーが差出人の詐欺メールは最近よく見かけますが
今までのは詐欺サイトが隣国でした。
でも今回は「ロサンジェルス」と出ているのでもしかしたら別の奴の犯行の可能性も
ありますね。
愉快犯だとしても、メールアドレスを偽装しているし偽サイトも作っているので犯罪です。
皆さんもこのようなメールを受け取っても絶対に信じないようにご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;