パスワードを忘れた? アカウント作成
Close
13599876 journal
日記

microwavableの日記: 偽・楽天からの注文確認メール 8

日記 by microwavable

Oakleyのサングラス3つ買うなら送料無料、にももう飽きてきたと思ったところで目新しいスパムが届いた。

楽天市場の注文確認メールを忠実に再現してあって、「アカウントが乗っ取られて第三者に注文されたか?」と思わせるメール。from: もちゃんと楽天のアドレスになっている。
文中のハイパーリンクが全て「http://pn.readythedestr●yer.c●m/」宛になっているので、いまひとつツメが甘いのでは…と思うがメール文面だけの完成度で言えばかなりのもの。
配送先に書かれている住所はGoogleマップで探したら、大きめの民家のようですが…そちらへの2次被害が気になる。

ちょっとググってみたら、にわかに流行しているフォーマットのようで、PCあきんどが迷惑を被っているらしい。
あと、上記のドメインはアクセスを試みても繋がらなかったのが残念。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

偽・楽天からの注文確認メール More

  • X-Spam-Flag: YES

    みたいなダウトフルないかがわしい痕跡とかもっとあからさまな発信元偽称

    Authentication-Results: ${MY.MAILSERVER.DO.MAIN}; spf=hardfail smtp.mailfrom=info@mail.rakuten-card.co.jp; dkim=none; dkim-adsp=unknown header.from=info@mail.rakuten-card.co.jp; dmarc=fail header.from=info@mail.rakuten-card.co.jp

    Received: from 95-42-8-56.ip.btc-net.bg (95-42-8-56.ip.btc-net.bg [95.42.8.56])
      by ${MY.MAILSERVER.DO.MAIN} (${MY.MAILSERVER.ALIAS})

    Received: from [121.83.199.157] (account noreply@hmrevenue.com HELO eaoyvsl.dhadujsfzlk.org)
      by 89.106.101.57.unicsbg.net (CommuniGate Pro SMTP 5.2.3)
      with ESMTPA id 946088096 for ${MYOWNMAILADRESS} ;
      Thu, 22 Mar 2018 08:16:00 +0200

    など(抽出元はそれぞれ別サンプル)の記録とかは残ってましたか?

    // spam 判定されない楽天メールなら [133.237.26.41] とか [100.66.240.202])など。

    • 投稿時点ではWeb版のGmailで見てたので確認できなかったんですよね…
      ということで改めて見てみましたが、一番面白かったところは

      X-Mailer: The Bat! (v2.11) Educational

      ですかね

      シェア
      親コメント

      • Wikipedia [wikipedia.org]の記述に拠るなら長年豊富な実績あるメールクライアントでモルドヴァ産まれ。海外発信のube/uce/spamにはごく当たり前に使われているからそんなに面白いと思わなかったひねくれもののわたし。

        シェア
        親コメント

        • うちに来るSPAMにはX-Mailerがないパターン化、Foxmailかのほぼ2択だったもんで。
          いや、The Bat!でも別にいいんですよ、Educationalじゃなければ。

          シェア
          親コメント

        • Re: (スコア:0)

          by Anonymous Coward

          楽天がサービス絡みでテナントに配ってたりするって事実とか有るのかな?
          因みにウチに来る奴は
          >X-Mailer: The Bat! (v2.00.2) Business
          ってなっている。

          >X-Mailer: The Bat! (v2.11) Educational
          これも前に見たなと思って検索してみたら
          「Apple IDアカウントを回復してください」
          って奴で使われていた。

          • 楽天自身がが販促メルマガや規則変更一斉通知で使っている現行品だったら

            X-Mailer: Mu-b

            だと思う。これは4年以上前も使っていたし今も使っているようす。

            その一方で
            楽天内個別店舗相手に問い合わせた返信メールは4年前のもの、
            楽天内個別店舗の個別メルマガだと2年前のもの
            が手元にある最新で陳腐化しているが
            もしかりにいまでも昔のルールが変更されていないなら

            Keywords: R-Mail

            X-R-Mail_shop: キュットスリムと下着通販GB-style

            みたいなヘッダはあるけど X-Mailer とは違う。
            以上から、配っていないまたは配っていても統制が無いも同然とわたしは判断している。

            シェア
            親コメント

    • ウチに届いてる奴だと、

      Authentication-Results: mx.google.com;
                    spf=softfail (google.com: domain of transitioning order@rakuten.co.jp does not designate XXX.XXX.XXX.XXX as permitted sender) smtp.mailfrom=order@rakuten.co.jp;
                    dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=rakuten.co.jp

      となってますね。(送信元 IP は一応伏字にしました)
      sakura から送信してる模様。

      「アカウントが乗っ取られて第三者に注文されたか?」と思わせるメール

      最初こそあせりましたが、本文最初にあるはずの「(購入者名) 様」が無かったので
      アレ? と気づきました。

      シェア
      親コメント

      • いちいち全部確かめていないですが

        Google (gm なんちゃら)を騙る
        さくらインターネットを利用していることをうかがわせる
        the Bat! のメイラ、Thunderbirdのメイラ、ほかほかほか…
        2つ以上 and 条件のこともあれば条件1つのみ成立、それ以外もあり。

        わけ隔てなくほぼ正解判定しているSymantecのNISは賢いと思いました。

        シェア
        親コメント
typodupeerror

物事のやり方は一つではない -- Perlな人