『詐欺メール』「メルカリ事務局からのお知らせ クーポンコード****」と、来た件

迷惑メール

「痛み自体は愛です」…(^-^;
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

中華フォントと中国ドメインは100%詐欺メール!

フリマを展開するメルカリから3,000円分ポイントが貰えるのクーポンの案内メールが
届きました。
と言っても詐欺ですけどね。(笑)

そのメールがこちらです。

相変わらずの中華フォントで攻めてきますね。
見てください、このフォントの”与”の字

怪しいでしょ?
それに句読点もおかしいし…
本物のメルカリならHTMLを使いもう少し華やかにしてくると思いますが…

では、プロパティーから見ていきましょう。

件名は
「[spam] メルカリ事務局からのお知らせ クーポンコード8391」
“[spam]”はいつものように受信サーバーが付加した注意喚起で、このメールに悪意が
あることを知らせてくれています。
末尾のクーポンコード番号は、このメールに信憑性を持たせるためのテクニック。

差出人は
「”メルカリ” <info@kjlfiu.cn>」
.cn”なんてあからさまに中国のドメインを使ってくる詐欺メールは最近多いです。
ほんと、騙す気あるのかなって思うくらい。
詐欺メールを見分けるポイントも1つですよ!


脅威レベルは「高」!

では、いつものようにのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<info@kjlfiu.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<00cca5d97884$c96c169f$6729fb4a$@fl>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mail0.kjlfiu.cn (unknown [45.142.202.37])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスとドメインを使ってそのサーバーの位置情報を拾ってみましょう!

まずは、IPアドレスとドメインの関連性。
kjlfiu.cn”は、しっかり”45.142.202.37”ってIPアドレスに割当てられています。

これにより、このメールの差出人アドレスは偽装されてないことが分かりました。

では、次にこのドメインの持ち主。
漢字三文字の方で、中国の「广州云讯信息科技有限公司」ってレジストラがドメイン管理を
しています。
そして登録に使用したメールアドレスはYahooメールです。

IPアドレス”45.142.202.37”を使って割出した位置情報と危険度。
割当ててる地域は「シンガポール」で、IPアドレスの危険度は「高」!
脅威の詳細には、メールでのサイバーアタックの攻撃元とされています。(;’∀’)
これでこのメールの危険度が分かりますよね。


リンク偽装が発覚!

では、次に本文にあるリンク先の調査です。
書かれているテキストリンクはこうなっています。

これを鵜呑みにしてはいけません!
表面上は”mercari.com”なんてメルカリさんの正規ドメインを使っているように見せかけて
いますが、これはあくまでテキストリンク。
実際のリンク先とは限りません!

本当のリンク先を取得してみるとこのようなURLが出てきました。

ね、全然違うでしょ?
これも詐欺を見分けるポイントですよ!!

では、このドメイン”server.558815.cn”も調査します。
結果は、メールドメインのように漢字三文字の方が持ち主で、同じレジストラがドメインの
管理をしています。
そして登録に使用したメールアドレスはさっきと全く同じYahooメールでした。

割り当ててるIPアドレスから導き出した割当先と危険度がこちら。

地域は「アメリカ・カリフォルニア州・ロサンゼルス」
そして脅威のレベルは「高」で、脅威の詳細には、Webでのサイバーアタックの攻撃元と
記されています。
メールと同様にリンク先のサイトは、とても危険度だと分かりますよね。

騙されたつもりでリンク先に行ってみましたが、既に「Esigned」って名前のラテン語の
サイトに置き換えられていました。

因みに「Esigned」は「設計」と言う意味で「WEB AGENCY」の下に書かれている
「Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore」
の意味は、直訳すると「痛み自体は愛です」だそうです(笑)


まとめ

最後までお読みくださりありがとうございます。

メールドメインを割当ててるIPアドレスと詐欺サイトのドメインを割当ててるIPアドレスも
脅威の危険度が「高」と出ましたので、サイバーセキュリティー界では周知されている
IPアドレスだと分かりますね。
今後も、詐欺メールと詐欺サイトを見分けるポイントをできるだけ分かりやすくお知らせ
できればと思っています。
おかしなメールが多いのでくれぐれもお気を付けください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました