メルカリ お支払い予定金額のご案内というメールがフィッシング詐欺か検証する
公開日:
メルカリ お支払い予定金額のご案内というメールがフィッシング詐欺か検証します。
一時的に利用制限しているので、リンクをクリックして認証を完了させてほしいという内容です。
メール本文は以下の通り。
メルカリ からのメール
このたびはメルペイのご利用に際し、ご不便をおかけし申し訳ございません。
メルカリグループでは、不正利用防止および利用者保護の観点より、一時的にご利用を制限または、一部のお店や購入される商品によっては決済をご利用いただけない場合がございます。
本人確認の強化を行なっております。
「24時間以内」に下記リンクより認証を完了させてください。
メルカリ サインイン
お客さまにはご不便をおかけし誠に恐れ入りますが、皆さまに安心・安全にご利用いただくための対応となっております。
なお、当社の判断基準や詳細についてはご案内ができかねますことをご了承ください。
ご理解とご協力をお願いするとともに、今後ともメルカリをよろしくお願いいたします。
ーーーーーーーーーー
株式会社メルペイ
[メールコード M29269002]
ーーーーーーーーーー
※株式会社メルペイはメルカリの決済サービスを運営しています
@ Mercari, Inc
まずはメールの送信元を調べてみます。
1 2 |
From: "メルカリ" <no-reply@mercari.jp> Return-Path: <wogt@mercari.jp> |
送信者名はメルカリとなっており、送信元、Return-pathともにmercari.jpのドメインになっています。
ただReturn-Pathではwogt@となっており、少々不自然です。
送信元のサーバーを調べてみます。
1 |
Received: from mercari.jp (unknown [106.12.57[.]81]) |
となっており、mercari.jpのサーバーを自称しています。
ところがこの106.12.57[.]81のIPアドレスを調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 |
inetnum: 106.12.0.0 - 106.13.255.255 netname: Baidu descr: Beijing Baidu Netcom Science and Technology Co., Ltd. descr: Baidu Plaza, No.10, Shangdi 10th street, descr: Haidian District Beijing,100080 country: CN admin-c: SD753-AP tech-c: SD753-AP abuse-c: AC1601-AP status: ALLOCATED PORTABLE mnt-by: MAINT-CNNIC-AP mnt-lower: MAINT-CNNIC-AP mnt-routes: MAINT-CNNIC-AP mnt-irt: IRT-CNNIC-CN last-modified: 2021-06-16T01:30:07Z source: APNIC |
となっており、中国の江蘇省蘇州にあるサーバーのようです。
次に、メール内のリンクの遷移先について調べてみます。
メールのソースをデコードしてみると、
1 |
<a title=Mercariサインイン class="mcnButton " style="TEXT-DECORATION: none; FONT-WEIGHT: bold; COLOR: rgb(255,255,255); TEXT-ALIGN: center; DISPLAY: block; LETTER-SPACING: normal; LINE-HEIGHT: 16px; text-size-adjust: 100%" href="https://www.mescarri[.]icu/" target=_blank> |
となっており、 https://www.mescarri[.]icu が遷移先のようです。
このドメインのwhois情報を調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
Domain Name: MESCARRI.ICU Registry Domain ID: D278984597-CNIC Registrar WHOIS Server: whois.aliyun.com Registrar URL: http://www.alibabacloud.com Creation Date: 2022-03-01T15:51:05.0Z Registry Expiry Date: 2023-03-01T23:59:59.0Z Registrar: ALIBABA.COM SINGAPORE E-COMMERCE PRIVATE LIMITED Registrar IANA ID: 3775 Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registrant Organization: Theresa W Chavez Registrant State/Province: Michigan Registrant Country: US Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Name Server: NS7.ALIDNS.COM Name Server: NS8.ALIDNS.COM DNSSEC: unsigned Billing Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Registrar Abuse Contact Email: DomainAbuse@service.aliyun.com Registrar Abuse Contact Phone: +86.95187 |
となっており、中国のアリババクラウドで取得されています。
登録者は米国ミシガン州の人物で登録されているようです。
さて、このドメインは107.172.73[.]137のIPアドレスを持つサーバーで運用されていたようですが、このサーバーは米国のサーバーです。
また、このサーバーではメルカリの偽サイトが多数運用されており、中国のdnsサーバーが使われています。
例)
1 2 3 4 5 |
masenri[.]icu maseoci[.]icu maseari[.]icu masecri[.]icu masemri[.]icu |
メルカリ お支払い予定金額のご案内というメールはフィッシング詐欺
メルカリ お支払い予定金額のご案内というメールはフィッシング詐欺です。
このメールは送信者名はメルカリ、送信元メールアドレスもメルカリのドメインを用いていますが、実態は中国のサーバーから送信されており、米国で運用されているメルカリの偽サイトへ遷移させます。
くれぐれもアカウント情報や個人情報などを入力することがないようご注意ください。
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,メルカリ,メルペイ