『詐欺メール』楽天から「[重要なお知らせ]急ぎの業務がありますのでご注意ください。」と、来た件

気を引くための件名が仇
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
 

楽天が私に「急ぎの業務」?

こんなおかしなメールが届きました。

「急ぎの業務」があると書かれていますが、内容はそんな件名に全く関係の無いもの。
それにこの文面は今までに何度も見てきた文章です。

件名は
「[spam] [重要なお知らせ]急ぎの業務がありますのでご注意ください。」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"Rakuten" <no-reply@rakuten.co.jp>」
楽天の正規ドメイン”rakuten.co.jp”が使われているメールアドレスですが、そんなの信用
できません。
偽装に決まっています!

IPアドレスの危険度は「高」

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<arnazon-update@tbvnpmx.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
早速”.cn”なんて中国のドメイン出てきちゃいましたね(笑)
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<20211126072509315741@tbvnpmx.cn>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
Received:「from ph (unknown [103.41.65.187])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

香港と出ました。
もちろん楽天グループが香港からメールを送るなんてことはあり得ないでしょう。
それにこのIPアドレスの危険度は「高」!
脅威の詳細は、Webでのサイバーアタックの攻撃元とされていますのでとても危険な
香りがします。

「Rakutenお客様」

続いて本文。

Rakutenお客様

残念ながら、あなたのアカウント を更新できませんでした。これは、カードが期限切れに
なったか。
請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。

今アカウントを確認できます。

楽天ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただく
ことを警告いたします。

パスワードを変更した覚えがない場合は、至急(01)-50-5820-6680までお電話ください。

何度も何度も見たことのある内容です。
特徴は「Rakutenお客様」って書き出しととってところ。
差出人は、流出したメールアドレスのリストをどこかで入手し、そのアドレス宛に
一斉にメールを送っているので、当然私の名前なんて知りえません。
だから宛名が「Rakutenお客様」なんておかしなものになるのです。
末尾に書かれている「(01)-50-5820-6680」って電話番号は詐欺メールに良く書かれて
いるもので、危険ですからいたずらでも絶対にダイヤルしないでください。

「楽天ログイン」と書かれている部分に詐欺サイトへのリンクが付けられています。
そのリンク先のURLがこちらです。

vpass”なんて三井住友カードのユーザー専用サイトの名前が書かれています。(笑)

使われているドメインは”important-rakywrd.com
持ち主と割当てているIPアドレスを確認してみます。

申請は中国広東省からされています。
割当てられているIPアドレスは”208.64.230.30”
メールの”Received”と同様に場所の特定を行ってみます。

おおよそですが「アメリカ カリフォルニア州 ロサンゼルス」が特定されました。

繋いでみると大きな楽天のログイン画面が表示されました。

まとめ

「急ぎの業務がありますのでご注意ください」なんて気を引こうと考えたんでしょうけど
楽天がこのような件名でメールを送ってくることに逆に違和感を感じますよね?
おかしなメールが多い世の中、十分にお気をつけください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メール(01)-50-5820-6680,important-rakywrd.com,IPアドレス,Message ID,rakuten.co.jp,Rakutenお客様,Received,Return-Path,SMS,SPAM,tbvnpmx.cn,Vpass,サイバーアタック,ジャンクメール,ドメイン,なりすまし,フィッシング詐欺,ヘッダーソース,メール,ロサンゼルス,ワードサラダ,今アカウントを確認できます,完コピ偽サイト,急ぎの業務がありますのでご注意ください,拡散希望,注意喚起,第三者不正利用,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart