『詐欺メール』「【楽天】更新に失敗しました，登録済み電話番号の確認をお願いします」と、来た件

差出人は偽装の可能性大

いつもご紹介している詐欺メールはそのほとんどが仕事用のアドレに届くもの。
このアドレスは仕事上で必要なカタログ請求時やその他の登録によく使うんですが、
ほんとこのアドレスにやたらと詐欺メールが多い。
きっとどこかで漏洩し名簿に乗っかってるんでしょうね。

さて今回ご紹介する詐欺メールがこちら。

「お」を忘れています。
「客様」から始まるメールってある？(笑)
それに所々日本語に不備があるし…

では、プロパティーから見ていきます。

件名は
「[spam] 【楽天】更新に失敗しました，登録済み電話番号の確認をお願いします」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「【楽天市場】 <my-info@rakuten.co.jp>」
”rakuten.co.jp”は楽天グループの正規ドメインですが、差出人なんていくらでも偽装できる
ので信用してはいけません！
次の項で詳しく調査してみます。

脅威のレベルは「高」

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

これによると、このIPアドレスは、ドメイン”static.cnode.io”に割当てられてて
このドメインの持ち主は、インターネット関連事業社”GMO”が管理しています。

このIPアドレスは、脅威のレベルが「高」とされているので相当危険です！
その脅威の種類は「メールでのサイバーアタックの攻撃元」とされています。

楽天の偽サイトへ

そして本文。

本文中にはちゃんと「お客様」と使ってるのになぜ冒頭の宛名が「客様」なのか理解に
苦しみます。(;^_^A
それに理由も無く電話なんかする？
まぁ、これはリンクを押させるための口実ですから理由なんてなくても良いのですが(笑)
そのリンクは「更新をクリックします」と書かれた大きな赤いボタンに付けられています。
そのリンク先のURLがこちらです。

使われているドメインは”palxj.com”
調べてみるとこのような結果が出ました。

持ち主は上海の方です。
割り当て国は「セーシェル」とされていますが、もう少し詳しい情報が知りたくなるのが
人情。
ここに書かれているIPアドレス”156.245.25.173”を使いもう少し詳しい情報を拾ってみます。

こちらのサイトでは「セーシェル」ではなく「香港」と出ました。
他の複数のサイトでも調べてみましたが、どうやら「香港」が正しいようです。

リンク先を訪れてみると楽天のログインページが表示されました。
もちろん偽のコピーページです。

まとめ

今回は「客様」がポイントでしたね。
その他にもヘッダーやリンク先のドメインにもヒントが隠されていました。
楽天やアマゾンなどショッピングサイトからのメールには特に注意してください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;