『詐欺メール』「mercari【重要:必ずお読みください】」と、来た件

迷惑メール

せめて読める漢字でお願いします。
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

制限中にログインできるんだろうか?

メルカリを騙るものも多いフィッシング詐欺メール。
今日も新種が届いていますので早速ご紹介しようと思います。

こちらがそのメール。

読めない漢字がいくつかありますが、頑張って読んでみますと、要は第三者不正利用が
発生しアカウントが制限されたのでリンクからログインして制限を解除しろと。
制限されているのにログインできるのかどうかは別の話。(笑)
で、ログインして情報を確認するとなぜだか5000円の割引が適用されるらしい。(笑)

では、メールのプロパティーから見ていきましょう。

件名は
「[spam] mercari【重要:必ずお読みください】」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「mercari <no-reply@mercari.jp>」
mercari.jp”は、確かにメルカリさんが持っているドメインですが件名の”[spam]”が示す通り
このメールは詐欺メールなのでこのメールアドレスはウソです。


発信元は天安門広場の東辺り

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<ghrbentcdh@mercari.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<3A5A985915CD635F90E920634ED60F8B@mercari.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from mercari.jp (unknown [106.13.119.237])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、この”Received”にあったIPアドレス”106.13.119.237”を使ってそのサーバーの情報を
拾ってみます。


このIPアドレスの利用地は、北京の天安門広場の東側辺りにあるようです。
どうやらこの辺りに設置されたメールサーバーから配信されたようです。
それより赤枠で囲った部分、脅威レベルは「高」と書かれていますので危険なメールに
間違いないようです。


これじゃ騙せないでしょ

では、本文を見てみましょう。

内容は理解できるのですが、読めない漢字がいくつか見られます。(;^_^A
北京のサーバーとこの文章を見れば大方どこの国の人からか想像つきますよね?

このメールは、フィッシング詐欺メールなので当然詐欺サイトへのリンクが付けられています。
そのリンク先のURLはこちら。

まず、このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認
してみました。

やはり既に危険なサイトと認識されており、カテゴリはフィッシングとされています。

このURLで使われているドメインは、サブドメインを含め”www.mesoaeri.com
このドメインについても調べてみました。

ドメインの持ち主は、マレーシアのクアラルンプールにある企業。
このドメインをドメインを割当てているIPアドレスは”23.94.174.131”とされているので
このIPアドレスを元にその割り当て地を確認してみます。

今度はロサンゼルス市庁舎付近の地図が表示されました。
また先程と同じように脅威のレベルは「高」とされていて、カテゴリはウェブによるサイバー
アタックと書かれています。

安全な方法でサイトへ繋いでみると、Googleの検索ページが表示されました。

このメールが到着してすぐにこのブログエントリ書いてるんですが、もう閉鎖されています。
最初からこのページに飛ばすつもりで詐欺メールを書いているのか、それとも危険を感じて
逃げてしまったのかは分かりません。


まとめ

いくら一生懸命にメールを書いても、読めないような漢字じゃ残念ながら騙されたくても
騙されることはできません。
メルカリに成りすました詐欺メールでも巧妙なものも多いのでご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました