NEXONから届く"【警告】異常な回数のログイン試行がありました"は詐欺メールか?

Alexas_Fotos / Pixabay

標題のとおり、NEXON（ネクソン）から「【警告】異常な回数のログイン試行がありました」のタイトルでメールが届きました。

僕はゲームが好きで、365日のうち360日くらいはゲームをしています。

もちろんNEXONにも登録済み。昔はNEXONで色々なゲームやってました。昔はね・・・

今はNEXONのゲームは全くしていないので無視してもいいんだけど、メールの内容が興味深かったので内容を精査してみることにしました。

ついでに、いい機会だったのでNEXONのアカウントも削除。

今回届いた詐欺メールの詳細

詐欺メールである理由

本物っぽいメールでうっかりだまされる人もいるかもしれませんが、これは詐欺メールです。

今回、だまされそうになるポイントがいくつあるのでご紹介します。

①送信元アドレスが本物のドメインである

NEXON <oshirase@nexon.co.jp>

@nexon.co.jpは実在するドメインです。

Whoisで検索すると、まぎれもなく株式会社ネクソンの所有であることがわかります。
http://whois.jprs.jp/

フリーメールや胡散臭いアドレスを使用していない点が要注意でした。
NSLOOKUPコマンドでドメインを引いてみると、SPFレコードが登録されていました。

ということは、Outlookなどでメールヘッダーを確認すれば、SPF=PASSが存在するはずです。

ところが見当たらなかったので、これは正規のサーバからは送信されていないことがわかります。

②送信元アドレスが本物のドメインである

リンクが3つあります。
https://www.nexon.co.jp/mypage/login-record/
http://faq.nexon.co.jp/faq/show/5607
http://www.nexon.co.jp/

表面上はすべて本物に見えますが、1つは偽物。それは一番上のリンク。
メール本文に表示されているURLと実体URLが異なる。

表示上は　https://www.nexon.co.jp/mypage/login-record/　でも、
中身は　 http://login.nexon.account-login-cmxy.usa.cc/。
↑のリンクはフィッシングサイトですので危険です。

HTMLメールではこのようにリンクを簡単に偽装できます。
リンクをマウスオーバーした時に、実際のリンク先が表示されるため、それを確認すると良いでしょう。

表示と中身が異なっていたら要注意です。

③偽物のリンクの飛び先は本物とまったく同じ見た目

実際に偽物のサイトをクリックしてみました。上が偽物サイト、下が本物サイト。見た目上の違いは全くありません。

偽物

本物

まとめ

今回の偽NEXONからのメールはフィッシング詐欺でした。

詐欺メールに騙されないためには、身に覚えのないメールがきたら

を守ってください。

今回のようなフィッシング詐欺の場合には、有料のセキュリティソフトであればURLを開く際に警告してくれるものもあります。

おすすめは、Nortonインターネットセキュリティです。