サイトアイコン HEARTLAND

『詐欺メール』「【mercari】重要なお知らせ 」と、来た件

読めない漢字多々
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

メルカリショッピングチームから

最近多いメルカリに成りすましたフィッシング詐欺メール。
今日もいくつか届いております。
その中から、新しい件名と内容のものがありましたので早速ご紹介したいと思います。
こちらがそのメール。

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] 【mercari】重要なお知らせ [メールコード M382361]」
末尾に書かれたメールコードなる連番、これも最近多く見られます。
単純にこのメールの信憑性を高めるために付けられているものでしょうね。
何と付けようがこのメールには”[spam]”とスタンプが付けられているので迷惑メールの類。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”mercari” <no-reply@mercari.jp>」
確かに”mercari.jp”はメルカリさんの所持するドメインですが、件名の”[spam]”が示す通り
このメールはスパムですから全く信じることはできません。


アドレス偽装を暴く

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<wedpuddz@mercari.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<A0348E3B3B3D340C1B9DD6C645471B7B@mercari.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mercari.jp (unknown [106.13.39.58])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まず”mercari.jp”に割当てられているIPアドレスと”Received”に記載されているIPアドレスを
比較しこのメールアドレスが偽物であることを証明しましょう!
これは”mercari.jp”に割当てられているIPアドレスの情報です。

本来なら”Received”に記載されているIPアドレスと同じであるはずなのですが全く異なります
からこのメールアドレスは偽装であることが立証されました。

では、”Received”にあったIPアドレスを使ってそのサーバーの位置情報等を拾ってみます。

表示されたのは北京市付近の地図。
ここは、IPアドレスが使われている場所、すなわち差出人が使用したメールサーバーの
位置を示します。
それより、見てくださいこのIPアドレスの危険度!
脅威のレベルは「高」で、その種類はメールによるサイバーアタックと書かれています。


情報更新でショッピング割引?!

さて、ではお楽しみの本文です。
今回は読めない漢字のオンパレード(笑)

書いてあるのは、第三者の不正利用の疑いがありアカウントが制限されているので
リンクからログインして制限を解除しろと。
情報を更新し制限が解除されたら5000円のショッピング割引が適用されるなんて内容です。
なんで情報を更新したら割引されるんでしょうか?
ま、それもリンクを押させるための誘い文句ですから何とでも書けますよね。(笑)

さて、そのリンク先のURLはこちら。

まず、このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみました。

既にこのサイトは危険なフィッシングサイトとして認識されていました。

このURLで使われているドメイン”meacosi.icu”の持ち主を調べてみました。

アメリカミシガン州の方の持ち物で、ドメインの管理はアリババのシンガポールが行っている
模様です。

次はドメイン”meacosi.icu”を割当てているIPアドレスを調べた結果です。

これによるとそのIPアドレスは”107.172.13.160”とされています。

では、このIPアドレスを元にその割り当て地を確認してみます。

割り当て地はカナダのハミルトンと言う都市付近。
トレンドマイクロでも調べた通り脅威レベルは「高」と出ています。

この地で運営されている詐欺サイトを安全は手段で確認してみました。
するとEdgeから警告が出されました。

警告を理解した上で遮断されたサイトに行ってみると。
イトは既に閉鎖されていてGoogleのトップページにとばされてしまいました。


まとめ

このメールを受け取ったのは今から約4時間前。
本当にフィッシング詐欺サイトの寿命は短いものです。
それにしてもこのメールの漢字は酷かったですね、ほとんど読めませんもん(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了