Received: from TmpX.com (86.163-pool-dsip-cc.sccoast.net. [66.153.163.86])
From: "メルカリ事務局" <0065628476@mercari-alerts.jp>
Subject: 【重要】お客様のメルカリアカウントに異常なログインが検出されました
【重要なお知らせ】
お客様のアカウントに異常なログインが検出されました
平素よりメルカリをご利用いただきありがとうございます。
最近、お客様のアカウントに対して通常とは異なる地域?端末からのアクセスが確認されました。
セキュリティ保護の観点から、お客様のアカウント機能を一部制限させていただいております。
ご本人による利用であることを確認するため、以下のページよりご対応をお願いいたします。
アカウント情報を確認する (https://0123.k8cw6d0.sbs/1234)
※この手続きを24時間以内に行っていただけない場合、アカウントが一時停止となる可能性があります。
何卒ご理解とご協力のほど、よろしくお願い申し上げます。
※本メールは送信専用です。ご返信いただいても対応いたしかねますのでご了承ください。
メルカリ事務局
- フィッシングサイト: *.k8cw6d0.sbs
- フィッシングサイト: 2cgyqut.sbs
- 送信元: Horry Telephone Cooperative
ここ数日の定番リスト:
- お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Envelope-From は3~5文字 .com ドメイン名
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
- クレジットカード情報の入力を求める
今日もまだ mercari-alerts.jp を From アドレスにしているようで、昨日のささやかな妨害工作により無事 SPF Fail になっている。