サイトアイコン HEARTLAND

『詐欺メール』「[楽天] 急ぎの業務がありますのでご注意ください。」と、来た件

楽天が私に業務とは…(笑)
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

空きドメインのメールアドレスから!?

最近は成人式がハッピーマンデーとなり今朝は連休明けの火曜日。
思い起こせば30数年前に、私の成人式は1月15日もう記憶も薄れてしまいました。

そんなことは置いておいて、今朝は楽天グループを騙る怪しげなメールをご紹介
使用と思います。
そのメールがこちら。

楽天が私に急ぎの業務って、私、いつから楽天に雇われの身になったのでしょうか?(笑)
そう思いながら本文を見てみると、業務には一切関係無く、私の楽天アカウントが
ロックされている旨を示すものとなっています。

では、プロパティーから見ていきましょう!

件名は
「[spam] [楽天] 急ぎの業務がありますのでご注意ください。」
本文を見ると分かりますが、おとりの件名ですね。
って言うか、おとりと言うよりお門違いと言った方が良いのでしょうか。
大体一般人に楽天グループから仕事の依頼が来るはずがありません。
単に気や興味を引かせるための件名です。
先頭に”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”Rakuten” <amazoni-co-jp@goldlanda.com.cn>」
ん?…なんでアマゾンぽい”amazoni-co-jp”なんてアカウントなの?
それに”goldlanda.com.cn”なんてドメイン、楽天グループには全く関連性がありません。
本物の楽天グループからのメールなら、差出人アドレスのドメインは必ず”rakuten.co.jp
となるはずです。
それにこのドメイン”goldlanda.com.cn”は現在空いていて使われていないようです。(笑)


発信元はまたしても!?

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<amazoni-co-jp@goldlanda.com.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<5F41F6B4641953830654596AE06BF626@ypdyyjj>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from ypdyyjj (unknown [113.105.200.19])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレスを使ってそのサーバーの情報を拾ってみます。

やはりと言うか案の定と言うか、想像通り中国が表示されました。
広東省広州市付近と出ているので、差出人が利用したメールサーバーはこの付近に
設置されているようです。


ヒントがいっぱいの本文

では、メールの本文です。

○○@○○○○.○○○ 様
平素より楽天グループのサービスをご利用いただき、誠にありがとうございます。
アカウントのエラーまたは不完全なプロファイルにより、システムは残念ながら
高リスクのアカウントに設定されており、アカウントと対応する機能の権限が部分的に
ロックされています ←”。”はどこへ?楽天ウェブサービス:
アカウントのロック解除にご協力ください。
以下のリンクを使用して、Rakuten Webサイトにアクセスし、情報を更新してください。
※楽天グループ株式会社
楽天会員情報管理ページよりご確認いただけます。
https://member.id.rakuten.co.jp/rms/nid/menufwd ←リンク偽装されています。
表示された画面に情報ごとをご入力頂くか 。 ←ここで終わるか?

アマゾンや楽天グループからのメールで宛名がメールアドレスだったことは一度もありません。
ですから本文書き出しにある宛名がメールアドレスの場合は100%詐欺メールです。
詐欺師側は、どこかで売られていた流出メールアドレスに当ててこのメールを送っているので
差出人側で知りえるのはこちらのメールアドレスのみだからこうなるのです。

気になる箇所は注記しておきましたが、このメールもご多分に漏れずです。
詐欺メールでは、句読点がおかしかったり、変にへりくだりなんでも”お”を付けたり
文章がおかしな位置で終わったりします。

本文に書かれている「楽天会員情報管理ページ」へのリンクはこのように書かれています。
「https://member.id.rakuten.co.jp/rms/nid/menufwd」
このURLは本物の楽天グループのログインページに接続されますが、実はこれHTMLにより
リンク偽装されています。
実際に接続されるURLはこちらです。

なんか、楽天なのかアマゾンなのかどっちつかずのドメインですね(笑)
使われているドメインは”rakutan009.amzaaoioo1.net
このドメインについて調べてみましたがその殆どがプライバシー保護。
分かったのは割当てているIPアドレスは”198.211.50.166”で、持ち主は中国湖南省にある
企業であることくらい。

取得できたIPアドレス”198.211.50.166”でその割り当て地を確認してみると。

表示されたのは、ロサンゼルスのサンタクラリタです。
やはり今回も中国とアメリカのセットでしたね。
このパターン多すぎ…(;^_^A


まとめ

なんやかんや気を引く件名を使ってきますね。
まあでも件名に反する本文なので誰も騙されることは無いでしょう。
このエントリーに書いたいくつかのヒント、しっかり覚え被害を未然に防いでいただければ
幸いです。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了