『詐欺メール』「【重要】Mercariセキュリティ警告：サインイン試行が検出されました。」と、来た件

なぜ”メルカリ”と書かずに”Mercari”としたの？

また馬鹿にしたようなフィッシング詐欺メールが届いたので早速ご紹介しようと思います。

メルカリに成りすましたフィッシング詐欺メールですが、気持ち悪いフォントですよね。
Yaheiと呼ばれる中華フォントが使われています。

では、いつものようにメールのプロパティーから。

件名は
「[spam] 【重要】Mercariセキュリティ警告：サインイン試行が検出されました。」
なぜ”メルカリ”と書かずに”Mercari”としたのでしょうか？
ぱっと見メルカリだとは分かりませんよね？
まず、このメールには”[spam]”とスタンプが付けられているので迷惑メールの類。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

問題の差出人は
「”Amazon” <support@jfr00.cn>」
こんなの子供でも分かると思いますが、なぜ件名でメルカリと名乗っておきながらの
“Amazon“なんでしょうか？
絶対分かっててやっていると思いますよ、こんなの…

IPアドレスからサーバーの位置を調査

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

ではまず、差出人のメールアドレス”support@jfr00.cn”の虚偽を調べてみることにします。

割当ててるIPアドレスは”23.254.166.229”で”Received”に記載されているものと同じ。
なのでこの差出人のメールアドレス”support@jfr00.cn”は正しいことが分かります。
ついでにこのドメインの持ち主を見てみると、私ではよく事のできない難しい漢字が使われた
氏名の方。
そしてこのIPアドレスを元にその割り当て地を確認してみると、その地はアメリカのシアトル。
この差出人は、こんなところに設置されたメールサーバーを起点にこのメールを送ってきた
ようです。

詐欺サイトは既に初期化済み

続いて本文。
この本文によると、第三者不正利用の疑いがあるのでリンク先からアカウントを確認しろ
と言った内容です。
そのリンクは「更新 をクリックします」と書かれた赤いボタンに付けられています。
そのリンク先のURLはこちら。

まずは、このリンク先の危険性についてGoogleの「セーフブラウジング」で確認してみました。

これによると、このサイトは既に危険なサイトとして認識されているようです。

サイトのURLに使われているドメインは、サブドメインを含めて”yy-meircarids.ddns.net”
”ddns.net”ですからこのサイトのドメインは、アメリカの無料ドメイン提供サイトNo-IPで
取得されていますね。

その辺を含め、このドメインの情報を確認してみます。

やはりダイナミックDNSのNo-IPと記載されていますね。
このドメインを割当てているIPアドレスは”34.97.60.218”
このIPアドレスを元にその割り当て地を確認してみます。

ロサンゼルスだと思いきや、なんと大阪市の地図が表示されてしまいました。
プロバイダー名に”Google LLC”と書かれているので、Googleが提供するウェブツール内に
詐欺サイトを構築しているようです。

サイトを訪れてみると、まずこのようにChromeから遮断されました。

安全な方法で先に進んでみましたが、結局サイトは既に初期化されていました。

翻訳してみると、書かれているのはこのような内容でした。

きっと、危なくなってトンズラでもしたのでしょう。

まとめ

まさかメルカリがアマゾンを名乗ってメールを送って来るとは恐れ入りました。
もう既にサイトは初期化されていますので、これ以上の被害は発生しないと思います。
って言うか、こんなメールじゃ誰もそこまで進みませんよね…(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;