「◆ アラート : 【Rakunten】 アカウントがロックされました」というメールがフィッシング詐欺か検証する


公開日:

「◆ アラート : 【Rakunten】 アカウントがロックされました」というメールがフィッシング詐欺か検証します。

異常な場所からアクセスされたためアカウントをロックした、確認して欲しいとログインを促すメールです。

文面は以下の通りです。

お客様各位、

あなたの Rakuten ID、異常な場所からアクセスされているため、ロックされています。

ログインの詳細 :

日付        : May 06, 2020

ブラウザ :Huawei P20

24時間以内にこのメッセージが確認されるまで、お客様のアカウントは保護されます。

指定した期限内にこのメッセージを確認しないと、アカウントは永久にロックされます。

確認ボタンを押して、アカウントが完全に安全になるまで提供する手順を完了してください。

ログインアクティビティを確認する

敬具、

Rakuten ID

まず、メールヘッダーから送信元を確認します。

 送信者名はRakunten IDとなっていますが、送信元メールアドレスとReturn-Pathはnorply_inf0idmailgkprqh@abx0auu00ne.comとなっています。

楽天のドメインではありません。

送信元サーバーを調べてみます。

 3.22.186.53というIPアドレスが出てきました。

これはAmazonに割り当てられたIPアドレスで、amazonaws.comとありますからamazonのクラウドサービスから送信されているようです。

次にメールの誘導先を調べてみます。

 非常に長いURLになっていますが、これは分解できます。

https://kddi.saferedirected[.]com/r/sAPg4uF

idtrack=nECTcGQ3IuWf トラッキングIDと思われます。

utm_medium=email GoogleアナリティクスのカスタムURLで、広告メディアやマーケティング メディアを識別します(CPC 広告、バナー、メール ニュースレターなど)。

utm_source=atmos プロパティにトラフィックを誘導した広告主、サイト、出版物、その他を識別します(Google、ニュースレター 4、屋外広告など)。

utm_campaign=32966 GoogleアナリティクスのカスタムURLで、商品のキャンペーン名、テーマ、プロモーション コードなどを指定します。

utm_content=5597SVE GoogleアナリティクスのカスタムURLで、似通ったコンテンツや同じ広告内のリンクを区別するために使用します。たとえば、メールのメッセージに行動を促すフレーズのリンクが 2 つある場合は、utm_content を使用して別々の値を設定し、どちらが効果的か判断できます。

つまり、このメールの送信者はどのメールがより効果的かのデータを取るために分析しているということです。

では、早速安全を担保したうえでこのURLへアクセスしてみます。

 日本で登録されているドメインのようです。

さて、アクセスしてみましたが、Google.comにリダイレクトされてしまいました。

システムの設定がうまくいっていないようです。

saferedirected.comを直接叩いてみると、オープンディレクトリとなっていました。

kddiというディレクトリがあるのが分かります。

この中に行ってみると、

Antibot v2.6というタイトルのファイルがありました。

CSSのパスが通っていないようなので、

https://kddi.saferedirected[.]com へアクセスしてみると、

CSSのパスが通りました。

Antibot は、リアルタイムでユーザーを監視するためのツールです。

そして、望まない訪問者の場合デフォルトの設定でgoogle.comへとリダイレクトします。

よって、この設定によるものだと思われます。

「◆ アラート : 【Rakunten】 アカウントがロックされました」というメールはフィッシング詐欺

「◆ アラート : 【Rakunten】 アカウントがロックされました」というメールはフィッシング詐欺です。

このメールは楽天とは全く関係のないAWSから送信されており、リンクの誘導先も楽天とは全く関係のないWebサイトです。

このメールの送信者はアクセスしてきた訪問者のデータを取得しており、ツールを使って常にモニタリングしています。

不要な情報を渡さないためにも、アクセス自体をしないほうが安全です。

関連記事



カテゴリ:
タグ:



関連記事