Received: from ircf.com ([216.16.53.6])
From: "メルカリ事務局"
Subject: 【重要】お客様のメルカリアカウントに異常なログインが検出されました
【重要】アカウント保護についてのご案内
安全なご利用のためにご確認ください
いつもご利用いただきありがとうございます。
最近、お客様のアカウントへの異常なアクセスが検知されました。
念のため、以下の手順で設定をご確認ください。
ご確認の手順
セキュリティ状況を確認 (https://0123.vmu87z0.sbs/1234)
公式URL: https://example.com/security-check
アカウントを守るために
* パスワードの定期的な変更を行ってください
* 二段階認証の利用をおすすめします
* 不明なリンク?メールは開かないようにしましょう
※本メールに覚えがない場合は、以下の連絡先までご連絡ください。
セキュリティ窓口:security@example.com
? 2025 サービス運営チーム
- フィッシングサイト: *.vmu87z0.sbs
- フィッシングサイト: 25uvcjj.sbs
- 送信元: Clarity Telecom
今回は定番の特徴に完全に合致。本文はなぜか example.com を記載してたりよくわからん。
ここ数日の定番リスト:
- お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Envelope-From は3~5文字 .com ドメイン名
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
- クレジットカード情報の入力を求める
2通目。
Received: from nUmd.com (ip98-182-69-81.ri.ri.cox.net. [98.182.69.81])
From: "メルカリ事務局" <829371910@mercari-alerts.jp>
Subject: 【重要】お客様のメルカリアカウントに異常なログインが検出されました
?? 不審なログインを検出しました
メルカリをご利用のお客様
平素よりメルカリをご利用いただき、誠にありがとうございます。
お客様のアカウントで、通常とは異なるログインが確認されました。
以下の対応を速やかにご確認ください:
1. アカウントパスワードの変更
2. 二段階認証の設定確認
3. 取引履歴?出品内容の確認
パスワード変更ページへ (https://0123.ixytgr1.sbs/1234)
※このログインに覚えがない場合、第三者による不正アクセスの可能性があります。
本メールはシステムにより自動送信されています。ご返信いただいても対応できません。
? Mercari, Inc. All rights reserved.
今回の From は mercari-alerts.jp。
- フィッシングサイト: *.ixytgr1.sbs
- フィッシングサイト: 85zkeux.sbs
- 送信元: Cox Communications