『詐欺メール』「メルカリ事務局からのお知らせ クーポンコード****」と、来た件

中華フォントと中国ドメインは100％詐欺メール！

フリマを展開するメルカリから3,000円分ポイントが貰えるのクーポンの案内メールが
届きました。
と言っても詐欺ですけどね。(笑)

そのメールがこちらです。

相変わらずの中華フォントで攻めてきますね。
見てください、このフォントの”与”の字

怪しいでしょ？
それに句読点もおかしいし…
本物のメルカリならHTMLを使いもう少し華やかにしてくると思いますが…

では、プロパティーから見ていきましょう。

件名は
「[spam] メルカリ事務局からのお知らせ クーポンコード8391」
“[spam]”はいつものように受信サーバーが付加した注意喚起で、このメールに悪意が
あることを知らせてくれています。
末尾のクーポンコード番号は、このメールに信憑性を持たせるためのテクニック。

差出人は
「”メルカリ” <info@kjlfiu.cn>」
”.cn”なんてあからさまに中国のドメインを使ってくる詐欺メールは最近多いです。
ほんと、騙す気あるのかなって思うくらい。
詐欺メールを見分けるポイントも1つですよ！

脅威レベルは「高」！

では、いつものようにのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスとドメインを使ってそのサーバーの位置情報を拾ってみましょう！

まずは、IPアドレスとドメインの関連性。
”kjlfiu.cn”は、しっかり”45.142.202.37”ってIPアドレスに割当てられています。

これにより、このメールの差出人アドレスは偽装されてないことが分かりました。

では、次にこのドメインの持ち主。
漢字三文字の方で、中国の「广州云讯信息科技有限公司」ってレジストラがドメイン管理を
しています。
そして登録に使用したメールアドレスはYahooメールです。

IPアドレス”45.142.202.37”を使って割出した位置情報と危険度。
割当ててる地域は「シンガポール」で、IPアドレスの危険度は「高」！
脅威の詳細には、メールでのサイバーアタックの攻撃元とされています。(;’∀’)
これでこのメールの危険度が分かりますよね。

リンク偽装が発覚！

では、次に本文にあるリンク先の調査です。
書かれているテキストリンクはこうなっています。

これを鵜呑みにしてはいけません！
表面上は”mercari.com”なんてメルカリさんの正規ドメインを使っているように見せかけて
いますが、これはあくまでテキストリンク。
実際のリンク先とは限りません！

本当のリンク先を取得してみるとこのようなURLが出てきました。

ね、全然違うでしょ？
これも詐欺を見分けるポイントですよ！！

では、このドメイン”server.558815.cn”も調査します。
結果は、メールドメインのように漢字三文字の方が持ち主で、同じレジストラがドメインの
管理をしています。
そして登録に使用したメールアドレスはさっきと全く同じYahooメールでした。

割り当ててるIPアドレスから導き出した割当先と危険度がこちら。

地域は「アメリカ・カリフォルニア州・ロサンゼルス」
そして脅威のレベルは「高」で、脅威の詳細には、Webでのサイバーアタックの攻撃元と
記されています。
メールと同様にリンク先のサイトは、とても危険度だと分かりますよね。

騙されたつもりでリンク先に行ってみましたが、既に「Esigned」って名前のラテン語の
サイトに置き換えられていました。

因みに「Esigned」は「設計」と言う意味で「WEB AGENCY」の下に書かれている
「Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore」
の意味は、直訳すると「痛み自体は愛です」だそうです(笑)

まとめ

最後までお読みくださりありがとうございます。

メールドメインを割当ててるIPアドレスと詐欺サイトのドメインを割当ててるIPアドレスも
脅威の危険度が「高」と出ましたので、サイバーセキュリティー界では周知されている
IPアドレスだと分かりますね。
今後も、詐欺メールと詐欺サイトを見分けるポイントをできるだけ分かりやすくお知らせ
できればと思っています。
おかしなメールが多いのでくれぐれもお気を付けください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;