『詐欺メール』続「【メルカリ】ログイン通知」と、来た件

メルカリさんが中国ドメインをね…(笑)

クリスマスだろうが何だろうが詐欺メールには関係ないようです。(;^_^A
今度はメルカリに成りすまし、第三者不正利用を騙りクレジットカードの情報などを
盗み取ろうとする詐欺メールです。

確か以前にも同じ件名のメールを一度ご紹介したと思いますが、本文の内容がその時とは
異なるので改めてご紹介させていただくことにしました。
詐欺師のくせに詐欺事件が多発しているからセキュリティーを強化するなんてこと書いて
ありますね。(笑)

件名は
「[spam] 【メルカリ】ログイン通知」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「メルカリ <admin@pahd689.cn>」
無い無い、メルカリさんに限らず自社ドメイン持ってるんだからよそのドメインを使った
メールアドレスでユーザーに連絡することなんて絶対にありません。
それに何ですかこの中国のトップレベルドメインは…(;^_^A

脅威レベルは「高」

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

このIPアドレスが使われている地域は中国の北京市。
そして危険度を示す脅威レベルは「高」と出ており、種類は「メールでのサイバーアタック」
と書かれていますのできな臭いにおいがプンプンします。

銀行のセキュリティシステムをアップグレード？

では、本文に目を移します。

(適当に改行を入れました)

宛名が無く唐突に本文が始まるタイプ。
ツラツラと読み進むと「銀行のセキュリティシステムをアップグレードしました」って
くだりがあります。
メルカリがなぜ「銀行のセキュリティシステムをアップグレード」できるんでしょうか？
自社のセキュリティーなら話は分かりますが…こういうところが雑なんですよね(笑)

この後ろに直書きされた詐欺サイトへのリンクが付けられています。
そのURLはこちらから始まるもの。

使われているドメインはまたしても中国ドメインの”cwtmvvw.cn”
このドメインの情報を取得してみました。

持ち主は、よく見かける日本ではあまり使われていない漢字3文字の氏名の中国の方。

このドメインを割当てているIPアドレスは”96.43.88.212”って事なので、このIPアドレスを
利用してその位置を拾ってみます。

「アメリカ,ロスアンゼルス,サンタクラリタ」付近が表示されました。
では、ここでどのようなサイトを開いているのか。
気になりますよね…
行ってみたところメルカリの偽のログインページが表示されました。

あれ？ちょっと待ってくださいよ。
サイトのURLがいつの間にかリダイレクトされて別のURLに移動しています。
そのURLがこちらです。

使われているドメインは”meqsru.cn”
いちいち画像貼りませんが、持ち主は先程の漢字3文字の方と同一人物で割当てている
IPアドレスも同じものでした。
なぜリダイレクトしてるかは不明です。

まとめ

いよいよ年末年始のイベントが始まり皆さんそわそわしていると思いますが、ちょっとだけ
気を引き締めてこういった詐欺メールに引っかからないようにご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;