楽天が香港からメールを?!何が「返事を楽しみにしている」だよ。 詐欺師のくせに。 これは今しがた届いた楽天に成りすましたフィッシング詐欺メール。 内容は、リンクを押させるために作られたウソのシナリオ。 件名は 「[spam] 【Rakuten、返信を楽しみにしている】」 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「”Rakuten” <no-reply@rakuten.co.jp>」 もちろん嘘ばっかり。 件名に「返信を楽しみにしている」なんて書いておきながら”no-reply@rakuten.co.jp” なんてアドレス。 ”no-reply”は、返信しないでと言う意味が込められているアカウントですが(笑) では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<service@0z8iluc.cn>」 早速中国ドメインですね(笑) ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211209111929484652@0z8iluc.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from ewipwbjoh (unknown [112.213.124.226])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみます。 IPアドレスの在りかは「香港」でした。
詐欺サイトはロサンゼルスに?!では本文。 Rakutenお客様 残念ながら、あなたのアカウント を更新できませんでした。 これは、カードが期限切れになったか。 請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。 今アカウントを確認できます。 |
「Rakutenお客様」から始まる本文。 言い回しに違和感がありますよね! そしてこの段落の後にあるボタンに詐欺サイトへのリンクが付けられています。 そのリンク先のURLがこちらです。 ”vpass”って見えていますが、偶然なのかVpassは三井住友カードのユーザーサイト。 このサイトの詐欺サイトも実は多いのです。 もしかしてこの詐欺師、Vpassでも詐欺しているのかも知れませんね! このURLで使われているドメインは”stage-wrariktowpy.co” このドメインインついて調べてみました。 持ち主は中国の方で、それ以外は全てプライバシーで保護されています。 割当てているIPアドレスは”23.234.240.235”と出ていますのでこれを使って使われている 地域を確認してみます。 これによるとこのIPアドレスは、ロサンゼルスのサンタクラリタ付近で使われているようです。 接続してみると、開いたのは楽天のログインページ。 もちろん詐欺サイトです。
まとめ件名が「返信を楽しみにしています」なのにメールアカウントが”no-reply”って意味を 理解して書いているのでしょうか? だいたいこんな件名では誰一人騙せないと思いますが…(笑) いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |