サイトアイコン HEARTLAND

『詐欺メール』メルカリから「【重要】確認情報を取得できませんでした」と、来た件

愉快犯の仕業?!
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

私、メルカリユーザーじゃありませんが…

最近詐欺メールで急増しているのはメルカリを騙ったもの。
特に多い件名は「【重要】事務局からのお知らせ」ってのでしたが、今朝は新たにこのような
新種のメールも届いています。

何の確認が取れなかったのか知りませんが、5日後の1月18日に私のメリカりアカウントが
削除されるそうです。
私のメリカりアカウントなんて有りもしないのにね…(笑)

では件名から確認していきましょう。

件名は
「[spam] 【重要】確認情報を取得できませんでした、
アカウントは1月18日に削除されます。
メルカリをご利用いただきありがとうございます。」
長ったらしいでしょ?
件名に「メルカリをご利用いただきありがとうございます」ってくだり必要でしょうかね?

もちろん”[spam]”とスタンプが付けられているのでこのメールは迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

次に差出人
「”メルカリ” <govj@jingxvip.cn>」
あれ?メルカリって中国の企業でしたっけ?
だって”.cn”なんて中国のドメイン使ってるじゃないですか。。。(;^_^A
いったいどんな人がこのドメインを使っているんでしょうね?
ってことで、調べてみたらどうやら中国の企業さんが持ち主のようです。

これによると割当ててるIPアドレスが”142.11.211.74”らしいので、所在を確認してみます。

どうやらこのIPアドレスはアメリカのシアトル付近で利用されているようです。
この結果、あのメールはシアトルにあるサーバーから発信されたことが分かりましたね。

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<govj@jingxvip.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20220113015955458825@jingxvip.cn>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from jingxvip.cn (jingxvip.cn [142.11.211.74])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

Received”にあったIPアドレス、先程ドメインから取得したものと同じ数字ですよね。
これにより、差出人はメールアドレスを偽装してないことも証明されました


フリードメインを使った犯行

引続き本文を見ていきます。

前回のメールで確認が取れなかったため、このアカウントは1月18日に削除れます。

アカウントを引き続き使用する必要がある場合は、時間内に情報を更新してください。
アカウント所有権の証明をご自身で行う場合は、メルカリ管理コンソールにログインし、
所定の手順でお手続きください。

「前回のメールで確認が取れなかったため」とあるんですが、何の確認が取れなかったのか
全く書かれていません。
まあ、それがリンクを押させるための手口なのかもしれませんが…

で、そのリンクは「更新をクリックします」と書かれた赤いボタンに付けられています。
そのリンク先のURLがこちらです。

どこがメルカリじゃ、”ddnsking.com”って確か無料でドメインを貸し出してくれる
アメリカのNo-IPさんのドメインじゃん。姑息…
これじゃドメインの割り当て地や持ち主を調べても意味がありません。


まとめ

リンク先は「一保堂茶舗」ってお茶屋さんのサイトに飛びます。
「一保堂茶舗」と言うお茶屋さんは実在するようですが、このサイトはもちろん営業してない
架空のサイトで、これ以前から愉快犯による詐欺サイトで何度かお目に掛っています。
ってことで、今回のメルカリを騙った詐欺メールは愉快犯によるものと断定しました。
困ったことに世の中には面白がった便乗犯が居るものですね。
こんなメール送って何が楽しいのでしょうか?
その能力、他に使おうとは思わないのかな?(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了