『詐欺メール』「【重要】Mercariセキュリティ警告：サインイン試行が検出されました。」と、来た件

heart

3年前

メルカリなのにAmazonとは…(笑)

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

なぜ”メルカリ”と書かずに”Mercari”としたの？

また馬鹿にしたようなフィッシング詐欺メールが届いたので早速ご紹介しようと思います。

メルカリに成りすましたフィッシング詐欺メールですが、気持ち悪いフォントですよね。
Yaheiと呼ばれる中華フォントが使われています。

では、いつものようにメールのプロパティーから。

件名は
「[spam] 【重要】Mercariセキュリティ警告：サインイン試行が検出されました。」
なぜ”メルカリ”と書かずに”Mercari”としたのでしょうか？
ぱっと見メルカリだとは分かりませんよね？
まず、このメールには”[spam]”とスタンプが付けられているので迷惑メールの類。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

問題の差出人は
「”Amazon” <support@jfr00.cn>」
こんなの子供でも分かると思いますが、なぜ件名でメルカリと名乗っておきながらの
“Amazon“なんでしょうか？
絶対分かっててやっていると思いますよ、こんなの…

IPアドレスからサーバーの位置を調査

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<support@jfr00.cn>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<20220303102712000450@jfr00.cn>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from o8ljp.cn (hwsrv-945428.hostwindsdns.com [23.254.166.229])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

ではまず、差出人のメールアドレス”support@jfr00.cn”の虚偽を調べてみることにします。

割当ててるIPアドレスは”23.254.166.229”で”Received”に記載されているものと同じ。
なのでこの差出人のメールアドレス”support@jfr00.cn”は正しいことが分かります。
ついでにこのドメインの持ち主を見てみると、私ではよく事のできない難しい漢字が使われた
氏名の方。
そしてこのIPアドレスを元にその割り当て地を確認してみると、その地はアメリカのシアトル。
この差出人は、こんなところに設置されたメールサーバーを起点にこのメールを送ってきた
ようです。

詐欺サイトは既に初期化済み

続いて本文。
この本文によると、第三者不正利用の疑いがあるのでリンク先からアカウントを確認しろ
と言った内容です。
そのリンクは「更新をクリックします」と書かれた赤いボタンに付けられています。
そのリンク先のURLはこちら。

まずは、このリンク先の危険性についてGoogleの「セーフブラウジング」で確認してみました。

これによると、このサイトは既に危険なサイトとして認識されているようです。

サイトのURLに使われているドメインは、サブドメインを含めて”yy-meircarids.ddns.net”
”ddns.net”ですからこのサイトのドメインは、アメリカの無料ドメイン提供サイトNo-IPで
取得されていますね。

その辺を含め、このドメインの情報を確認してみます。

やはりダイナミックDNSのNo-IPと記載されていますね。
このドメインを割当てているIPアドレスは”34.97.60.218”
このIPアドレスを元にその割り当て地を確認してみます。

ロサンゼルスだと思いきや、なんと大阪市の地図が表示されてしまいました。
プロバイダー名に”Google LLC”と書かれているので、Googleが提供するウェブツール内に
詐欺サイトを構築しているようです。

サイトを訪れてみると、まずこのようにChromeから遮断されました。

安全な方法で先に進んでみましたが、結局サイトは既に初期化されていました。

翻訳してみると、書かれているのはこのような内容でした。

おめでとうございます、サイトは正常に作成されました！
これはデフォルトのindex.htmlであり、このページはシステムによって自動的に生成されます
FTPルートディレクトリにあるこのページのindex.html
このページを変更、削除、または上書きすることができます
FTP関連の情報については、「パネルシステムの背景> FTP」に移動して表示してください。

きっと、危なくなってトンズラでもしたのでしょう。

まとめ

まさかメルカリがアマゾンを名乗ってメールを送って来るとは恐れ入りました。
もう既にサイトは初期化されていますので、これ以上の被害は発生しないと思います。
って言うか、こんなメールじゃ誰もそこまで進みませんよね…(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)