楽天市場を装った巧妙なSPAMを受信した
普段、おまけ程度に使ってる Yahoo のメールアドレスがあるんだけど、最近はこのアドレスに大量の SPAM が届くようになった。
SPAMが届くようになったきっかけはわかりきってて、Google+ に SPAMメールの内容をそのまま貼り付けたこと。その中にURLが含まれてて、Google+ のサーバーがそのURLにアクセス。たぶん、URLとメールアドレスが対応していて、受信したメールアドレスが生きているということをSPAM業者にお知らせしてしまったのだと思う。
Google+ にポストした内容はこちら。
≫ https://plus.google.com/u/0/110132498049618908826/posts/4b5tZ6moDnB
それ以来、日に日にSPAMが増え続けて、いまでは1日に100通を超えるようになった。
メールアドレスが売られてるんだろうな。。。
で、そのアドレスに届いたメールのひとつが、巧妙だったのでこちらで紹介。
送信元は楽天市場を装っていた。このメールアドレスは楽天市場では使ってないから、見た瞬間にSPAMだろうってわかった。
もちろん、テレビとか冷風扇とかうまい棒600本なんて注文してないし、代引きで決済なんてしないから、楽天市場で使ってるメールアドレスに届いててもSPAMだと気付くのは間違いないけど、ちょっと戸惑うかも。
つーか、うまい棒600本も食えるかー!!
で、このメール、見かけはプレーンテキストに見える。
この度は楽天市場をご利用いただきまして、誠にありがとうございます。 本日、「代金引換」にて、 以下の商品を発送させていただきます。 ---------------------------------------------------------------------- ★ご注文内容 ---------------------------------------------------------------------- 取引番号:514526 お支払い:代金引換 【商品名】 panasonic スマートビエラTH-P55VT60 254,000円 (税込み) この商品は、即日発送可能です。 冷風扇 スリムタイプ MSO-F1103S 12,800円 (税込み) この商品は、即日発送可能です。 やおきんうまい棒 詰め合せ600本 30本入×20BOX(600本)5,029円(税込み) この商品は、即日発送可能です。 手数料 :315円 小計 :271,829円 合計 :271,829円 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 楽天市場のご利用ありがとうございました。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ □商品、決済・発送に関するお問い合わせ http://www.rakuten.co.jp/1/017/651/?url=em_help/index_id.html/ ―――――――――――――――――――――――――――――――――― □このメールに心当たりの無い方<br> http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/2934/ ―――――――――――――――――――――――――――――――――― □キャンセル・返金に関してはこちら<br> http://www.rakuten.co.jp/com/faq/myorder.html/ ―――――――――――――――――――――――――――――――――― □発行:楽天株式会社 ※ 無断転載/複製を禁じます。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
でも、メールのソースを見ると、これはプレーンテキストではなくて、Base64エンコードされたHTMLだったりする。
以下が、デコードしたもの(お問い合わせURL部分の後半は改変)。
<html><head><meta http-equiv="Content-Type" content="text/html; charset=Shift_JIS"> </head>この度は楽天市場をご利用いただきまして、誠にありがとうございます。<br> 本日、「代金引換」にて、<br> 以下の商品を発送させていただきます。<br> <br> ----------------------------------------------------------------------<br> ★ご注文内容<br> ----------------------------------------------------------------------<br> 取引番号:514526<br> お支払い:代金引換<br> <br> 【商品名】<br> <br> panasonic スマートビエラTH-P55VT60 254,000円 (税込み)<br> この商品は、即日発送可能です。<br> <br> 冷風扇 スリムタイプ MSO-F1103S 12,800円 (税込み)<br> この商品は、即日発送可能です。<br> <br> やおきんうまい棒 詰め合せ600本 30本入×20BOX(600本)5,029円(税込み)<br> この商品は、即日発送可能です。<br> <br> <br> <br> 手数料 :315円<br> 小計 :271,829円<br> 合計 :271,829円<br> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━<br> 楽天市場のご利用ありがとうございました。<br> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━<br> <br> □商品、決済・発送に関するお問い合わせ<br> <a href="http://siribu6pos.net/free/c/rakuten?loginkey=d93b15cb74f3992d9df41453fd0e4cf41xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx">http://www.rakuten.co.jp/1/017/651/?url=em_help/index_id.html/</a><br> ――――――――――――――――――――――――――――――――――<br> □このメールに心当たりの無い方<br> <a href="http://siribu6pos.net/free/c/rakuten?loginkey=d93b15cb74f3992d9df41453fd0e4cf41xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx">http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/2934/</a><br> ――――――――――――――――――――――――――――――――――<br> □キャンセル・返金に関してはこちら<br> <a href="http://siribu6pos.net/free/c/rakuten?loginkey=d93b15cb74f3992d9df41453fd0e4cf41xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx">http://www.rakuten.co.jp/com/faq/myorder.html/</a><br> ――――――――――――――――――――――――――――――――――<br> □発行:楽天株式会社 ※ 無断転載/複製を禁じます。<br> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━</html>
最後に3つ並んで書かれてるこのお問い合わせのURL、また送信先のメールアドレスに対応してるんだろうと思って、後半を改変しといた。
プレーンテキストと見せかけてHTMLになっているところが巧妙で、このメールを受け取って変だと思った人がURLにアクセスすることを期待されている。
http://siribu6pos.net/free/c/rakuten にアクセスすると出会い系サイトらしい。
もしかしたら、改変していない loginkey でアクセスすると楽天市場のフィッシングサイトにつながって、パスワードを盗まれるのかも、とか思ったりしたけど、さすがにあとがめんどくさそうなのでやんない。
とりあえずwhoisしてみた。
# whois siribu6pos.net [Querying whois.verisign-grs.com] [Redirected to whois.discount-domain.com] [Querying whois.discount-domain.com] [whois.discount-domain.com] Domain Name: siribu6pos.net Registry Domain ID: Registrar WHOIS Server: whois.discount-domain.com Registrar URL: http://www.onamae.com Updated Date: 2014-08-19 20:22:41.0 Creation Date: 2014-07-11 07:25:07.0 Registrar Registration Expiration Date: 2015-07-11 07:25:06.0 Registrar: GMO INTERNET, INC. Registrar IANA ID: 49 Registrar Abuse Contact Email: abuse@gmo.jp Registrar Abuse Contact Phone: Domain Status: ACTIVE Registry Registrant ID: Registrant Name: kazuya ooshima Registrant Organization: kazuya ooshima Registrant Street1: Umedahoncho1-62 Registrant Street2: Registrant City: Kasukabe-shi Registrant State/Province: Saitama Registrant Postal Code: 344-0053 Registrant Country: JP Registrant Phone: +81.09068388240 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: ishizuka.wakaba23@gmail.com Registry Admin ID: Admin Name: kazuya ooshima Admin Organization: kazuya ooshima Admin Street1: Umedahoncho1-62 Admin Street2: Admin City: Kasukabe-shi Admin State/Province: Saitama Admin Postal Code: 344-0053 Admin Country: JP Admin Phone: +81.09068388240 Admin Phone Ext: Admin Fax: Admin Fax Ext: Admin Email: ishizuka.wakaba23@gmail.com Registry Tech ID: Tech Name: Taro Warita Tech Organization: GMO Internet Inc. Tech Street1: 26-1 Sakuragaoka-cho Tech Street2: Cerulean Tower 11F Tech City: Shibuya-ku Tech State/Province: Tokyo Tech Postal Code: 150-8512 Tech Country: JP Tech Phone: +81.0354562555 Tech Phone Ext: Tech Fax: +81.0354562556 Tech Fax Ext: Tech Email: admin@onamae.com Name Server: 01.dnsv.jp Name Server: 02.dnsv.jp DNSSEC: URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/ >>> Last update of WHOIS database: 2014-08-19 20:22:41.0 <<<
プレーンテキストのメールだと思っても、HTMLだったりするので、メール内のURLにアクセスするときは、書かれてるURLとリンク先が一致してるか確認するように気をつけたほうがいいね。