米国保健福祉省にDDoS攻撃、新型コロナウイルス(COVID-19)対策妨害が狙いか
【Pokémon GO サービスのお申し込み受付のお知らせ】というメールの分析
【楽天市場】お支払い方法を更新してください(自動配信メール)というメールの分析
公開日:
【楽天市場】お支払い方法を更新してください(自動配信メール)というメールが届いたので分析してみます。
実際には、「【楽天市場】お支払い方法を更新してください(自動配信メール)00:00」のように時刻が付記されており、フィッシング詐欺メールでよくあるタイプです。
文面は以下の通りです。
【メールアドレス】様,
残念ながら、あなたのアカウント
楽天会員個人情報を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため
楽天会員個人情報を確認する必要・ェあります。今アカウントを確認できます。
続けるにはこちらをクリック
なお、24時間以内にご確認がない場合、誠に勝手ながら、アカウントをロックさせていただくことを警告いたします。
どうぞよろしくお願いいたします。
お客様のセキュリティは弊社にとって非常に重要なものでございます。ご理解の程、よろしくお願い申し上げます。
楽天株式会社
https://rakuten.co.jp
Copyright c Rakuten, Inc. All Rights Reserved.
送信元を確認してみます。
|
1 2 |
From: myinfo <myinfo.rakuten.co.jp@dnslinksite.ddnsfree[.]com> Return-Path: <myinfo.rakuten.co.jp@dnslinksite.ddnsfree[.]com> |
ddnsfree[.]comが送信元となっており、過去のスパムメールでもよく見かけるものでした。
同様のドメインによるスパムメールは過去記事でも取り上げています。
「【重要】三井住友カード」というVpassIDおよびパスワード変更を促すメールを分析する
「【重要】 マツモトキヨシ からのお願い」というメールを分析する
【第二弾】三井住友カード株式会社から緊急のご連絡、文面違いのメールを調べてみる
[Win!]Apple iPhone 11 Pro当選おめでとうございますというフィッシング詐欺メール
次に、誘導先を調べてみます。
base64でエンコードされていますので、デコードを行います。
Base64デコードツール(当サイトの無料オンラインツール)
|
1 |
<A href="http://rakuten.co.jp.linkdnsfromwenhostinga.jp-linkdnsfromwebhostinglinkaccountmanaged[.]xyz/j/login.service.p.php"> |
誘導リンクは上記の通りとなっており、非常に長いドメインになっています。
このリンク先に、安全を担保したうえでアクセスしてみます。
すると、
特徴としては他の楽天を騙るメールがPC版のログイン画面を表示する傾向が多いのに対して、こちらはスマホ版のログイン画面となっているという点です。
偽のログイン画面ですので、ログイン情報などを入力することがないようにしてください。
関連記事
カテゴリ:
タグ:
関連記事
人気記事
