『詐欺メール』「【重要】メルカリ本人確認のお知らせ」と、来た件

heart

3年前

突然の本人確認は要注意！

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

「特定電子メール法」に抵触

本日は11月23日で勤労感謝の日。
勤労に感謝しつつわたくしHeartは本日も勤労しています(笑)
さて冗談はさておき、今朝もいっぱい届いていますよ詐欺メールが…
本日最初にご紹介するのはこのメルカリさんに成りすましたフィッシング詐欺メールです。

「このたびはメルペイのご利用に際し、ご不便をおかけし申し訳ございません。」
と始まりますが、不思議なことにその先の本文では何に不便をかけているのか何も言及されて
いません。
そしてリンクボタンの後、急にフォントが変わり突然中華フォントに切り替わります。(^-^;

またもう一つ言わせてもらえば、このメールは「特定電子メール法」に抵触しています。
難しい話ですが、特定電子メール法は、「営利を目的とする団体および営業を営む場合に
おける個人」である送信者が「自己又は他人の営業につき広告又は宣伝を行うための手段
として送信する電子メール」に適応されます。
メルカリさんからのメールもこの法が適応されるわけですが、特定電子メール法には
「送信者の表示義務」があります。
・送信者の氏名または名称
・受信拒否ができる旨の通知
・送信者の住所
・苦情や問い合わせの受付先
これだけの義務を果たす必要がありますが、受け取ったこのメールではその義務が果たされて
いません。
もっとも、詐欺メールですからこんな義務が果たす必要がないんでしょうけどね(笑)
でも、それがまわ詐欺メールを見分ける1つのポイントであることは忘れていけません。

脅威レベルは「高」

では、メールのプロパティーから見ていきます。

件名は
「[spam] 【重要】メルカリ本人確認のお知らせ」
何と書かれようと”[spam]”とスタンプが付けられているのでこのメールは迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「メルカリ <no-reply@mercari.jp>」
メルカリさんがメールで使うドメインは確かに”mercari.jp”です。
でも、件名の”[spam]”が示す通りこのメールは詐欺メールなのでこのメールアドレスは
きっと偽装されています。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<etfjfcsl@mercari.jp>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<B6D64DEE8B98273EC3EB605DBF8B9BF9@mercari.jp>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mercari.jp (unknown [116.85.14.42])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

偽装を疑う際は、このIPアドレスを調べることで判断できます。
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

ここでは、割り当て地が「中華人民共和国」とだけ表示されています。
他のサイトでもう少し詳しい位置と、危険度について調べてみました。

こちらではもう少し詳しい情報が得られました。
もちろんおおよその位置ではありますが「中華人民共和国北京市東城区」と表示されました。
そして脅威レベルは「高」で脅威の詳細は「メールによるサイバーアタックの攻撃元」
とされていますので、どうやらその世界ではこのIPは危険と認識されているようです。

本物に似せ切らなかったコピーサイト

では、引き続き本文に触れていきましょう。

このたびはメルペイのご利用に際し、ご不便をおかけし申し訳ございません。
メルカリグループでは、不正利用防止および利用者保護の観点より、一時的にご利用を
制限または、一部のお店や購入される商品によっては決済をご利用いただけない場合が
ございます。
本人確認の強化を行なっております。
「24時間以内」に下記リンクより認証を完了させてください。

先にも書いた通り、「ご不便をおかけし申し訳ございません」と書かれているのに
何に不便を刺せたのか全く言及されていないのはなぜでしょうか？

最近、システムアップグレードだとか適当な理由で付けこの本人確認が必要だと騙る
メールが多くなってきています。
取引の際は別として、何もないときに突然メールを送り本人確認のために情報を更新する
なんてことは絶対にありません。
だって、先方はユーザー登録した際の情報をデーターベースとして持っているはず。
ですから、突然音メールで本人確認を求められるメールは詐欺を疑ってみてください。

では、リンク先についてです。
もちろんリンク先は、奴らが実際に情報を詐取するためのコピーサイトですが、
このメールでは「メルカリサインイン」と書かれた赤いボタンに付けられています。
そのリンク先のURLがこちらです。

メルカリさんのサイトは「https://jp.mercari.com/」から始まるURLですがこれとは全く異なる
「maeecrnceaacrii.com」なんてドメインが使われています。

開いてみるとこのようにメルカリさんのコピーサイトが現れました。

きっちり作られているようですが下図の本物のメルカリさんのログインページは、残念ながら
このようにもう少し横長で内容も若干違います。

まとめ

最近は、こういった本人確認をさせようとするメールが非常に多くなっています。
取引する際以外での本人確認は、詐欺の場合が多いので特にご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)