「一時的にこの口座を制限しますのお知らせ」という千葉銀行のメールがフィッシング詐欺か検証
「Amazon Services Japanクレジットカード有効期限が切れています」というメールがフィッシング詐欺か検証する
「rakuten-card.co.jp アカウントの支払い方法を確認できず、注文を出荷できません。」というメールがフィッシング詐欺か検証
公開日:
「rakuten-card.co.jp アカウントの支払い方法を確認できず、注文を出荷できません。」というメールがフィッシング詐欺か検証します。
クレジットカードの会員情報に誤りがあるので更新できない、「楽天e-NAVI」という、楽天カード会員向けサイトにログインして更新して欲しいといった内容です。
文面は以下の通りです。
楽天e-NAVI お客様
残念ながら、あなたのアカウント
楽天e-NAVI を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため
楽天e-NAVI 情報を確認する必要・ェあります。今アカウントを確認できます。
楽天e-NAVI ログイン
なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。
パスワードを変更した覚えがない場合は、至急(03)-5757-5252までお電話ください。
お知らせ:
パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。
どうぞよろしくお願いいたします。
楽天e-NAVI
2020年4月25日19:06:23[RAND_LETTER-WRACWESZサゥずずカヾDKYKXXAF1UP_0]r5VwQT4X9670
という文面になっています。
まずメールヘッダーから送信元を調べてみます。
|
1 2 |
From: jzvifzkgu <information@emagazine.rakuten.co.jp> Return-Path: <eang@rakuten-card.co.jp> |
送信者名はjzvifzkguというランダムな文字列となっており、送信元メールアドレスはinformation@emagazine.rakuten.co.jp となっています。
しかしながらReturn-Pathはeang@rakuten-card.co.jpとなっており、送信元メールアドレスと異なっています。
これは偽装している可能性が高いため、送信元サーバーを調べてみます。
|
1 |
Received: from rakuten-card.co.jp (unknown [60.184.207.18]) |
60.184.207.18というIPアドレスが出てきました。
|
1 2 3 4 5 6 7 8 9 10 11 12 |
inetnum: 60.184.192.0 - 60.184.255.255 netname: CHINANET-ZJ-LS country: CN → (中国) descr: CHINANET-ZJ Lishui node network descr: Zhejiang Telecom admin-c: CZ4-AP tech-c: CL59-AP status: ALLOCATED NON-PORTABLE mnt-by: MAINT-CHINANET-ZJ mnt-lower: MAINT-CN-CHINANET-ZJ-LS last-modified: 2008-09-04T07:00:17Z source: APNIC |
このIPアドレスは中国に割り当てられているIPアドレスだと分かりました。
次にメール本文中のリンク誘導先について調べてみます。
|
1 |
<A class=button href="http://rakutenecard.jp/" rel=noopener target=_blank> |
リンク誘導先は、http://rakutenecard[.]jp/というドメインです。
一見rakutencardに見えますが、よく見るとrakuten e cardになっています。
このドメインのwhois情報を調べてみます。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
Domain Information: [ドメイン情報] [Domain Name] RAKUTENECARD.JP [登録者名] 山下 実 [Registrant] V V [Name Server] dns01.muumuu-domain.com [Name Server] dns02.muumuu-domain.com [Signing Key] [登録年月日] 2020/04/25 [有効期限] 2021/04/30 [状態] Active [最終更新] 2020/04/25 14:25:17 (JST) Contact Information: [公開連絡窓口] [名前] [代理公開情報]GMOペパボ株式会社 [Name] GMO Pepabo, Inc. [Email] admin@muumuu-domain.com [Web Page] http://muumuu-domain.com/?mode=whois-policy [郵便番号] 810-0001 [住所] 福岡県福岡市中央区天神2丁目7-21 Tenjin Prime 8F [Postal Address] Tenjin Prime 8F, 2-7-21, Tenjin Chuo-ku, Fukuoka-City, Fukuoka 8100001,Japan [電話番号] 092-713-7999 [FAX番号] 092-713-7944 |
whois情報の代理サービスを利用していますが、登録者名のみ表示されています。
日本人名のように見えますが、これが実名とは限りませんので注意が必要です。
さて、安全を担保してこのURLにアクセスしてみます。
すると、偽の「楽天e-NAVI」サイトのログイン画面が現れました。
ソースを見てみると、
|
1 |
<!-- saved from url=(0029)http://support-japan-50.info/ --> |
という文字列があります。
この偽サイトは、そもそもhttp://support-japan-50[.]info/にあったとみられる偽サイトから複製コピーされたもののようです。
さて、ログイン画面を超えると、クレジットカードの情報入力ページが現れます。
【http://rakutenecard[.]jp/index.php/step2.html】
さてこのページを越えると偽のセキュアキー入力画面が表示されます。
【http://rakutenecard[.]jp/index.php/step3.html】
この画面が終わると、本物の楽天のトップページへと遷移します。
さてこの偽サイトのIPアドレスは18.188.163.97でした。
これはAmazonAWSサービスに割り振られているようです。
「rakuten-card.co.jp アカウントの支払い方法を確認できず、注文を出荷できません。」というメールはフィッシング詐欺です
このメールは偽のメールアドレスで偽装し、中国のIPアドレスから送信されています。
リンクの誘導先には偽の「楽天e-NAVI」ログインページがあり、クレジットカード情報をすべて窃取します。
この偽サイトはAWSで運用されているようです。
くれぐれもログインしたり個人情報やクレジットカード情報を入力したりしないようご注意ください。
関連するこの記事も読まれています
2022.12.07 →【楽天重要なお知らせ】というメールがフィッシング詐欺か検証する。
2022.12.05 →【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。
2022.11.21 →【楽天カード株式会社】アカウントが停止される可能性がございます。というメールがフィッシング詐欺かを検証する
2022.11.08 →【緊急連絡】[楽天市場]情報の有効期限が切れ、アカウントの使用が停止されました. というメールがフィッシング詐欺かを検証する
2022.10.04 →【楽天カード】ご利用のアカウントを一時保留いたしました というメールがフィッシング詐欺か検証する
2022.08.02 →楽天のサービスと誤認させる仮想通貨取引プラットフォームのフィッシング詐欺がFacebook広告で増加中
2020.10.03 →【重要】あなたのアカウントは盗難の危険にさらされていますという楽天からのメールがフィッシング詐欺か検証する
2020.07.21 →【あなたのアカウントは異常行為で制限されています。】という楽天からのメールがフィッシング詐欺か検証する
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,楽天,楽天e-NAVI,楽天カード
関連記事
人気記事
