差出人は偽装の可能性大いつもご紹介している詐欺メールはそのほとんどが仕事用のアドレに届くもの。 このアドレスは仕事上で必要なカタログ請求時やその他の登録によく使うんですが、 ほんとこのアドレスにやたらと詐欺メールが多い。 きっとどこかで漏洩し名簿に乗っかってるんでしょうね。 さて今回ご紹介する詐欺メールがこちら。 「お」を忘れています。 「客様」から始まるメールってある?(笑) それに所々日本語に不備があるし… では、プロパティーから見ていきます。 件名は 「[spam] 【楽天】更新に失敗しました,登録済み電話番号の確認をお願いします」 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは 全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「【楽天市場】 <my-info@rakuten.co.jp>」 ”rakuten.co.jp”は楽天グループの正規ドメインですが、差出人なんていくらでも偽装できる ので信用してはいけません! 次の項で詳しく調査してみます。
脅威のレベルは「高」では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<indnvts@rakuten.co.jp>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<61AA7122685671511003EF560DFEF86F@rakuten.co.jp>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from rakuten.co.jp (v160-251-63-165.vjea.static.cnode.io [160.251.63.165])」 ”static.cnode.io”だからご常連さんですね。(笑) ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう! これによると、このIPアドレスは、ドメイン”static.cnode.io”に割当てられてて このドメインの持ち主は、インターネット関連事業社”GMO”が管理しています。 このIPアドレスは、脅威のレベルが「高」とされているので相当危険です! その脅威の種類は「メールでのサイバーアタックの攻撃元」とされています。
楽天の偽サイトへそして本文。 客様 アプリ上に登録されている電話番号について、現在お使いのものどうかの確認を お願いいたします。 お客様のアカウントのに登録された電話番号にご連絡いたしましたが、お客様に連絡を 取ることができませんでした。 クレジットカード会社に登録されている電話番号を現在使用されていない場合は、 クレジットカード会社の記録を更新し。 お客様によるご確認行為は必須となっており、お客様のアカウント情報のご確認が 行われなかった場合は、アカウントが停止される可能性がございます。 |
本文中にはちゃんと「お客様」と使ってるのになぜ冒頭の宛名が「客様」なのか理解に 苦しみます。(;^_^A それに理由も無く電話なんかする? まぁ、これはリンクを押させるための口実ですから理由なんてなくても良いのですが(笑) そのリンクは「更新をクリックします」と書かれた大きな赤いボタンに付けられています。 そのリンク先のURLがこちらです。 使われているドメインは”palxj.com” 調べてみるとこのような結果が出ました。 持ち主は上海の方です。 割り当て国は「セーシェル」とされていますが、もう少し詳しい情報が知りたくなるのが 人情。 ここに書かれているIPアドレス”156.245.25.173”を使いもう少し詳しい情報を拾ってみます。 こちらのサイトでは「セーシェル」ではなく「香港」と出ました。 他の複数のサイトでも調べてみましたが、どうやら「香港」が正しいようです。 リンク先を訪れてみると楽天のログインページが表示されました。 もちろん偽のコピーページです。
まとめ今回は「客様」がポイントでしたね。 その他にもヘッダーやリンク先のドメインにもヒントが隠されていました。 楽天やアマゾンなどショッピングサイトからのメールには特に注意してください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |