「rakuten-card.co.jp アカウントの支払い方法を確認できず、注文を出荷できません。」というメールがフィッシング詐欺か検証


公開日:

「rakuten-card.co.jp アカウントの支払い方法を確認できず、注文を出荷できません。」というメールがフィッシング詐欺か検証します。

クレジットカードの会員情報に誤りがあるので更新できない、「楽天e-NAVI」という、楽天カード会員向けサイトにログインして更新して欲しいといった内容です。

文面は以下の通りです。

楽天e-NAVI お客様

残念ながら、あなたのアカウント

楽天e-NAVI を更新できませんでした。

これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため

楽天e-NAVI 情報を確認する必要・ェあります。今アカウントを確認できます。

楽天e-NAVI ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。

パスワードを変更した覚えがない場合は、至急(03)-5757-5252までお電話ください。

お知らせ:

パスワードは誰にも教えないでください。

個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。

オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。

楽天e-NAVI

2020年4月25日19:06:23[RAND_LETTER-WRACWESZサゥずずカ゘ヾDKYKXXAF1UP_0]r5VwQT4X9670

という文面になっています。

まずメールヘッダーから送信元を調べてみます。

 送信者名はjzvifzkguというランダムな文字列となっており、送信元メールアドレスはinformation@emagazine.rakuten.co.jp となっています。

しかしながらReturn-Pathはeang@rakuten-card.co.jpとなっており、送信元メールアドレスと異なっています。

これは偽装している可能性が高いため、送信元サーバーを調べてみます。

 60.184.207.18というIPアドレスが出てきました。

 このIPアドレスは中国に割り当てられているIPアドレスだと分かりました。

次にメール本文中のリンク誘導先について調べてみます。

 リンク誘導先は、http://rakutenecard[.]jp/というドメインです。

一見rakutencardに見えますが、よく見るとrakuten e cardになっています。

このドメインのwhois情報を調べてみます。

 whois情報の代理サービスを利用していますが、登録者名のみ表示されています。

日本人名のように見えますが、これが実名とは限りませんので注意が必要です。

さて、安全を担保してこのURLにアクセスしてみます。

すると、偽の「楽天e-NAVI」サイトのログイン画面が現れました。

ソースを見てみると、

 という文字列があります。

この偽サイトは、そもそもhttp://support-japan-50[.]info/にあったとみられる偽サイトから複製コピーされたもののようです。

さて、ログイン画面を超えると、クレジットカードの情報入力ページが現れます。

【http://rakutenecard[.]jp/index.php/step2.html】

さてこのページを越えると偽のセキュアキー入力画面が表示されます。

【http://rakutenecard[.]jp/index.php/step3.html】

この画面が終わると、本物の楽天のトップページへと遷移します。

さてこの偽サイトのIPアドレスは18.188.163.97でした。

これはAmazonAWSサービスに割り振られているようです。

「rakuten-card.co.jp アカウントの支払い方法を確認できず、注文を出荷できません。」というメールはフィッシング詐欺です

このメールは偽のメールアドレスで偽装し、中国のIPアドレスから送信されています。

リンクの誘導先には偽の「楽天e-NAVI」ログインページがあり、クレジットカード情報をすべて窃取します。

この偽サイトはAWSで運用されているようです。

くれぐれもログインしたり個人情報やクレジットカード情報を入力したりしないようご注意ください。

関連記事



カテゴリ:
タグ:,,,,



関連記事