『詐欺メール』「【Rakuten、返信を楽しみにしている】」と、来た件

楽天が香港からメールを？！

何が「返事を楽しみにしている」だよ。
詐欺師のくせに。

これは今しがた届いた楽天に成りすましたフィッシング詐欺メール。
内容は、リンクを押させるために作られたウソのシナリオ。

件名は
「[spam] 【Rakuten、返信を楽しみにしている】」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"Rakuten" <no-reply@rakuten.co.jp>」
もちろん嘘ばっかり。
件名に「返信を楽しみにしている」なんて書いておきながら”no-reply@rakuten.co.jp”
なんてアドレス。
”no-reply”は、返信しないでと言う意味が込められているアカウントですが(笑)

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみます。

IPアドレスの在りかは「香港」でした。

詐欺サイトはロサンゼルスに？！

では本文。

「Rakutenお客様」から始まる本文。
言い回しに違和感がありますよね！
そしてこの段落の後にあるボタンに詐欺サイトへのリンクが付けられています。
そのリンク先のURLがこちらです。

”vpass”って見えていますが、偶然なのかVpassは三井住友カードのユーザーサイト。
このサイトの詐欺サイトも実は多いのです。
もしかしてこの詐欺師、Vpassでも詐欺しているのかも知れませんね！

このURLで使われているドメインは”stage-wrariktowpy.co”
このドメインインついて調べてみました。
持ち主は中国の方で、それ以外は全てプライバシーで保護されています。

割当てているIPアドレスは”23.234.240.235”と出ていますのでこれを使って使われている
地域を確認してみます。

これによるとこのIPアドレスは、ロサンゼルスのサンタクラリタ付近で使われているようです。

接続してみると、開いたのは楽天のログインページ。
もちろん詐欺サイトです。

まとめ

件名が「返信を楽しみにしています」なのにメールアカウントが”no-reply”って意味を
理解して書いているのでしょうか？
だいたいこんな件名では誰一人騙せないと思いますが…(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;