メルカリさんが中国ドメインをね…(笑)クリスマスだろうが何だろうが詐欺メールには関係ないようです。(;^_^A 今度はメルカリに成りすまし、第三者不正利用を騙りクレジットカードの情報などを 盗み取ろうとする詐欺メールです。 確か以前にも同じ件名のメールを一度ご紹介したと思いますが、本文の内容がその時とは 異なるので改めてご紹介させていただくことにしました。 詐欺師のくせに詐欺事件が多発しているからセキュリティーを強化するなんてこと書いて ありますね。(笑) 件名は 「[spam] 【メルカリ】ログイン通知」 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「メルカリ <admin@pahd689.cn>」 無い無い、メルカリさんに限らず自社ドメイン持ってるんだからよそのドメインを使った メールアドレスでユーザーに連絡することなんて絶対にありません。 それに何ですかこの中国のトップレベルドメインは…(;^_^A
脅威レベルは「高」では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<admin@pahd689.cn>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<20211225045502373440@pahd689.cn>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from pahd689.cn (unknown [117.50.176.60])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。 このIPアドレスが使われている地域は中国の北京市。 そして危険度を示す脅威レベルは「高」と出ており、種類は「メールでのサイバーアタック」 と書かれていますのできな臭いにおいがプンプンします。
銀行のセキュリティシステムをアップグレード?では、本文に目を移します。 ※アカウントに不適切なログインが検出されたため、アカウントの制限を許可し、24時間 以内にアカウントのセキュリティを確認して、プロパティの安全性を確保してください。 最近、詐欺事件が多発しているため、お客様の口座のセキュリティを確保するため、 銀行のセキュリティシステムをアップグレードしました。 お早めに個人情報の更新を完了してください。ご不便をおかけしますが、ご了承ください。 |
(適当に改行を入れました) 宛名が無く唐突に本文が始まるタイプ。 ツラツラと読み進むと「銀行のセキュリティシステムをアップグレードしました」って くだりがあります。 メルカリがなぜ「銀行のセキュリティシステムをアップグレード」できるんでしょうか? 自社のセキュリティーなら話は分かりますが…こういうところが雑なんですよね(笑) この後ろに直書きされた詐欺サイトへのリンクが付けられています。 そのURLはこちらから始まるもの。 使われているドメインはまたしても中国ドメインの”cwtmvvw.cn” このドメインの情報を取得してみました。 持ち主は、よく見かける日本ではあまり使われていない漢字3文字の氏名の中国の方。 このドメインを割当てているIPアドレスは”96.43.88.212”って事なので、このIPアドレスを 利用してその位置を拾ってみます。 「アメリカ,ロスアンゼルス,サンタクラリタ」付近が表示されました。 では、ここでどのようなサイトを開いているのか。 気になりますよね… 行ってみたところメルカリの偽のログインページが表示されました。 あれ?ちょっと待ってくださいよ。 サイトのURLがいつの間にかリダイレクトされて別のURLに移動しています。 そのURLがこちらです。 使われているドメインは”meqsru.cn” いちいち画像貼りませんが、持ち主は先程の漢字3文字の方と同一人物で割当てている IPアドレスも同じものでした。 なぜリダイレクトしてるかは不明です。
まとめいよいよ年末年始のイベントが始まり皆さんそわそわしていると思いますが、ちょっとだけ 気を引き締めてこういった詐欺メールに引っかからないようにご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |