『詐欺メール』「【mercari】重要なお知らせ 」と、来た件

メルカリショッピングチームから

最近多いメルカリに成りすましたフィッシング詐欺メール。
今日もいくつか届いております。
その中から、新しい件名と内容のものがありましたので早速ご紹介したいと思います。
こちらがそのメール。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 【mercari】重要なお知らせ [メールコード M382361]」
末尾に書かれたメールコードなる連番、これも最近多く見られます。
単純にこのメールの信憑性を高めるために付けられているものでしょうね。
何と付けようがこのメールには”[spam]”とスタンプが付けられているので迷惑メールの類。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"mercari" <no-reply@mercari.jp>」
確かに”mercari.jp”はメルカリさんの所持するドメインですが、件名の”[spam]”が示す通り
このメールはスパムですから全く信じることはできません。

アドレス偽装を暴く

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず”mercari.jp”に割当てられているIPアドレスと”Received”に記載されているIPアドレスを
比較しこのメールアドレスが偽物であることを証明しましょう！
これは”mercari.jp”に割当てられているIPアドレスの情報です。

本来なら”Received”に記載されているIPアドレスと同じであるはずなのですが全く異なります
からこのメールアドレスは偽装であることが立証されました。

では、”Received”にあったIPアドレスを使ってそのサーバーの位置情報等を拾ってみます。

表示されたのは北京市付近の地図。
ここは、IPアドレスが使われている場所、すなわち差出人が使用したメールサーバーの
位置を示します。
それより、見てくださいこのIPアドレスの危険度！
脅威のレベルは「高」で、その種類はメールによるサイバーアタックと書かれています。

情報更新でショッピング割引？！

さて、ではお楽しみの本文です。
今回は読めない漢字のオンパレード(笑)

書いてあるのは、第三者の不正利用の疑いがありアカウントが制限されているので
リンクからログインして制限を解除しろと。
情報を更新し制限が解除されたら5000円のショッピング割引が適用されるなんて内容です。
なんで情報を更新したら割引されるんでしょうか？
ま、それもリンクを押させるための誘い文句ですから何とでも書けますよね。(笑)

さて、そのリンク先のURLはこちら。

まず、このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみました。

既にこのサイトは危険なフィッシングサイトとして認識されていました。

このURLで使われているドメイン”meacosi.icu”の持ち主を調べてみました。

アメリカミシガン州の方の持ち物で、ドメインの管理はアリババのシンガポールが行っている
模様です。

次はドメイン”meacosi.icu”を割当てているIPアドレスを調べた結果です。

これによるとそのIPアドレスは”107.172.13.160”とされています。

では、このIPアドレスを元にその割り当て地を確認してみます。

割り当て地はカナダのハミルトンと言う都市付近。
トレンドマイクロでも調べた通り脅威レベルは「高」と出ています。

この地で運営されている詐欺サイトを安全は手段で確認してみました。
するとEdgeから警告が出されました。

警告を理解した上で遮断されたサイトに行ってみると。
イトは既に閉鎖されていてGoogleのトップページにとばされてしまいました。

まとめ

このメールを受け取ったのは今から約4時間前。
本当にフィッシング詐欺サイトの寿命は短いものです。
それにしてもこのメールの漢字は酷かったですね、ほとんど読めませんもん(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;