「楽天安全センター」というフィッシング詐欺メールを解析する


公開日: 最終更新日:

「楽天安全センター」という割と明らかなフィッシング詐欺メールを解析してみます。

メールヘッダーを調べる

送信元として表示されるfromは、

と楽天になっています。

しかしながら通常これは偽装ですから、Return-Pathを見てみます。

Return-Pathもrakuten.co.jpになっています。

では次にReceivedを見てみます。

となっています。ホスト名はrakuten.co.jpになっていますが、本当かどうかちゃんとIPも調べてみます。

イランのケルマーンシャーという都市のようです。ようやくぼろが出ました。

つまりホスト名も偽装されているということになります。

中華フォントに注目

次に見た目で怪しいのはフォントです。

ソースを見ると、

となっています。

Microsoft YaHeiというのは、簡体字中国語版のWindowsのフォントです。

いわゆる中華フォントですね。

日本語版にもバンドルされているフォントなので、若干違和感はあるものの普通に表示されます。

誘導先を調べる

次に、誘導先を調べてみます。

リンク先は、

となっています。

rakuten.co.jpという文字列は頭だけで、これはよくあるパターンです。

実際には4sa6d4hg5sa65465d4gf654fgas65oi4we287q87r87yu9.clubというドメインのサブドメインのようです。

Whois情報を調べてみます。

レジストラは中国でwww.22.cn。

登録者のエリアは香港、登録者組織はJINPINGとなっていますが、これは中国の習近平(Xi Jinping)主席の名前のようです。

明らかな詐欺メールですから、もちろんリンク先に飛んだりしてはいけません。


カテゴリ:,
タグ:



関連記事