『詐欺メール』「【楽天市場】お客様情報の確認」と、来た件

迷惑メール

コリもせずご苦労さんなことで…
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーの偽サイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取します。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

楽天らしからぬメールアドレスで

またまた、楽天市場に成りすまし不正利用監視システムを導入したとうそぶき個人情報や
クレジットカードの情報を詐取しようとする詐欺メールが届きました。

本文の内容は、今までにも何度も見てきた内容です。

件名は
「[spam] 【楽天市場】お客様情報の確認」
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”楽天市場” <noreply-admin@255939.cn>」
楽天市場を名乗っておきながら、なぜに”255939.cn”??
楽天ならドメインは”rakuten.co.jp”でしょうに…(;^_^A
まあこのアドレスも怪しいものですがね…


香港から発信

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<noreply-admin@255939.cn>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<0CC62956BBDF36C79DF431FC93D89B61@zsxolnq>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from zsxolnq (unknown [69.165.67.111])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレス”69.165.67.111”を使ってそのサーバーの情報を
拾ってみます。

香港の地図が表示されました。
これにより、このメールは香港に置かれたメールサーバーより発信されたことが分かりました。


大事なメールなのに宛名が無い?!

では引き続き本文です。

楽天市場「お客様情報の確認」

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつも弊社カードをご利用いただきありがとうございます。

昨今の第三者不正利用の急増に伴い、弊社では「不正利用監視システム」を導入し、
24時間365日体制でカードのご利用に対するモニタリングを行っております。

つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、
予めご了承下さい。

楽天 ログイン

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、
アカウントの利用制限をさせていただきますので、予めご了承ください。

はい、宛名がありませんね。
宛名が無いのは詐欺メールの証拠。
アマゾンでも楽天でもこのような大切なメールならみんな本文の最初に宛名が入ります。

「以下へアクセスの上、カードのご利用確認にご協力をお願い致します」とありますが
絶対にリンクへ行ってはいけません。
心配ならお手もちのスマホアプリか楽天をウェブ検索し接続するようにしてください。

そのリンクは「楽天 ログイン」と書かれたところに付けられています。

使われているドメインはサブドメインを含め”www.shandongcn.com.cn
このドメインを割当てているIPアドレスを確認してみます。

結果は”173.254.202.143
では、このIPアドレスを使ってその割り当て地を確認してみます。

結果はご覧の通り「アメリカ カリフォルニア州 ロサンゼルス」付近の地図が表示されました。
リンク先のウェブサイトは、この付近に設置されたサーバー上で運営されているようです。

リンク先へ危険を承知で乗り込んでみると…

ウイルスバスターにブロックされてしまいました。

「判定内容をご確認のうえでアクセスを希望されますか?
※アクセス先の安全性について判断できない場合は、アクセスをお控えください。」

と書かれた部分を押してみると、「ブロックしたWebサイトにアクセス」と書かれた
ボタンが表示されました。

でも、このボタンを押しても、リンク先のサイトは相当危険なのか永遠にこの画面から
抜け出すことはできませんでした。


まとめ

もしリンク先が開いたとしてもどうせ偽の楽天のログイン画面が表示されたことでしょう。
難しいかもしれませんが、メールの中にはちょっとしたことですが必ずフィッシング詐欺
メールを見分けられるポイントが隠されていますので覚えておいてください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました