「楽天安全センター」というフィッシング詐欺メールを解析する
公開日: 最終更新日:
「楽天安全センター」という割と明らかなフィッシング詐欺メールを解析してみます。
メールヘッダーを調べる
送信元として表示されるfromは、
1 |
From: "楽天市場" <id@rakuten.co.jp> |
と楽天になっています。
しかしながら通常これは偽装ですから、Return-Pathを見てみます。
1 |
Return-Path: <id@rakuten.co.jp> |
Return-Pathもrakuten.co.jpになっています。
では次にReceivedを見てみます。
1 |
Received: from rakuten.co.jp (unknown [212.95.131.73]) |
となっています。ホスト名はrakuten.co.jpになっていますが、本当かどうかちゃんとIPも調べてみます。
1 2 3 4 5 |
City:Kermanshah Region:Kermānshāh Coordinates:34.3142,47.0650 Timezone:Asia/Tehran Country:Iran |
イランのケルマーンシャーという都市のようです。ようやくぼろが出ました。
つまりホスト名も偽装されているということになります。
中華フォントに注目
次に見た目で怪しいのはフォントです。
ソースを見ると、
1 |
style="FONT-SIZE:medium;FONT-FAMILY:"Microsoft YaHei" |
となっています。
Microsoft YaHeiというのは、簡体字中国語版のWindowsのフォントです。
いわゆる中華フォントですね。
日本語版にもバンドルされているフォントなので、若干違和感はあるものの普通に表示されます。
誘導先を調べる
次に、誘導先を調べてみます。
リンク先は、
1 |
http://rakuten.co.jp.4sa6d4hg5sa65465d4gf654fgas65oi4we287q87r87yu9.club/ |
となっています。
rakuten.co.jpという文字列は頭だけで、これはよくあるパターンです。
実際には4sa6d4hg5sa65465d4gf654fgas65oi4we287q87r87yu9.clubというドメインのサブドメインのようです。
Whois情報を調べてみます。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
Domain Name: 4sa6d4hg5sa65465d4gf654fgas65oi4we287q87r87yu9.club Registry Domain ID: DB55F4B1FDFA34E23881572C035D5C9C4-NSR Registrar WHOIS Server: Registrar URL: www.22.cn Updated Date: 2020-02-05T09:08:53Z Creation Date: 2020-02-05T03:28:55Z Registry Expiry Date: 2021-02-05T03:28:55Z Registrar: 22net, Inc. Registrar IANA ID: 1555 Registrar Abuse Contact Email: abuse@22.cn Registrar Abuse Contact Phone: +86.57188276020 Domain Status: clientHold https://icann.org/epp#clientHold Domain Status: addPeriod https://icann.org/epp#addPeriod Registry Registrant ID: Registrant Name: Registrant Organization: JINPING Registrant Street: Registrant Street: Registrant Street: Registrant City: Registrant State/Province: XIANGGANG Registrant Postal Code: Registrant Country: CN |
レジストラは中国でwww.22.cn。
登録者のエリアは香港、登録者組織はJINPINGとなっていますが、これは中国の習近平(Xi Jinping)主席の名前のようです。
明らかな詐欺メールですから、もちろんリンク先に飛んだりしてはいけません。