[楽天]ログインしましたか?(2020/7/21 **:**)というメールがフィッシング詐欺か検証する
公開日:
[楽天]ログインしましたか?(2020/7/21 **:**)というメールがフィッシング詐欺か検証します。
ログインIPなどの情報が記載されており、心当たりがない場合第三者のログインの可能性があると不安を煽る内容です。
文面は以下の通り。
example@example.com 様
ご利用中の楽天会員アカウントへのログインが確認されました。
◆ログイン情報
・ログイン日時 :2020/7/21 6:51
・IPアドレス :166.87.144.80
上記のログイン記録にお心あたりがない場合は、お客様以外の第三者によってログインされた可能性がございます。
下のリンクをクリックして、安全なサーバーを使用してアカウント情報を確認してください。
続けるにはこちらをクリック
万が一、身に覚えのないご利用やご注文が確認された場合は、楽天市場トップページより「ヘルプ」をクリックいただき、「ヘルプ・問い合わせトップ」画面下部の「楽天市場へ問い合わせる」から「楽天市場お客様サポートセンター」へお問い合わせください。
※本メールはご登録いただいたメールアドレス宛に自動的に送信されています。
※本メールは送信専用です。ご返信いただきましてもお答えできませんのでご了承ください。
楽天株式会社
まずは送信元を調べてみます。
1 2 |
From: myinfo <myinfo.rakuten-card.co.jp@directservers.ddnsfree.com> Return-Path: <myinfo.rakuten-card.co.jp@directservers.ddnsfree.com> |
送信者名はmyinfo、 送信元メールアドレスとReturn-Pathはともにddnsfree.comというドメインのメールアドレスになっています。
ddnsfree.comはDDNS(ダイナミックDNS)サービス事業者ですが、このDDNSという仕組みはフィッシング詐欺などのスパムメールでもよく用いられます。
送信元のIPアドレスも確認してみます。
1 |
Received: from mta0.directservers.ddnsfree.com (v118-27-18-166.sw0l.static.cnode.io [118.27.18.166]) |
118.27.18.166というIPアドレスが出てきました。
このIPアドレスは日本のGMOインターネットのものですが、このIPでホストされているドメインを調べるとitemget[.]tokyo というドメインが出てきます。
このドメインにアクセスしてみると、http://directservers.ddnsfree[.]com/websites/ という ddnsfree.com のサブドメインにリダイレクトされ、
このようにボットネットの一部であることが分かります。
さて、リンクの誘導先も見てみます。
1 |
https://rakuten.co.jp.e8rw.cn/regist.php?openid.pape.max_auth_age=0&openid.return_to=https%3A%2F%2Fwww.amazon.co.jp%2F%3Fref_%3Dnav_em_hd_re_signin&openid.identity=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.assoc_handle=jpflex&openid.mode=checkid_setup&key=a@b.c&openid.claimed_id=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0%2Fidentifier_select&openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&&ref_=nav_em_hd_clc_signinhttps://www.baidu.com/ |
となっており、https://rakuten.co.jp.e8rw[.]cn 配下に誘導されています。
このドメインはe8rw[.]cnのサブドメインであり、cnドメインは中国の公式ドメインです。日本でのjpドメインですね。
1 2 3 4 5 6 7 8 9 10 11 12 |
e8rw.cn WHOIS Information Domain Name: e8rw.cn ROID: 20191001s10001s17283028-cn Domain Status: ok Registrant: 班东方 Registrant Contact Email: euv18550@cuoly.com Sponsoring Registrar: 阿里云计算有限公司(万网) Name Server: ns1.nodedns.net Name Server: ns2.nodedns.net Registration Time: 2019-10-01 04:05:27 Expiration Time: 2020-10-01 04:05:27 DNSSEC: unsigned |
当然ですが、中国で登録されています。
安全を担保して、このURLにアクセスしてみます。
すると、
このように偽の楽天フィッシング詐欺サイトが運用されていました。
なお、IPアドレスは45.95.235.41というロシアのIPアドレスです。
[楽天]ログインしましたか?(2020/7/21 **:**)というメールはフィッシング詐欺
[楽天]ログインしましたか?(2020/7/21 **:**)というメールはフィッシング詐欺です。
このメールは国内のサーバーに設置されたボットネットから配信されており、中国ドメインで運用されている楽天のフィッシング詐欺サイトに誘導します。
このフィッシング詐欺サイトはロシアのサーバーに置かれています。
くれぐれもアカウント情報、クレジットカード情報などを入力しないようご注意下さい。
2022.12.07 →【楽天重要なお知らせ】というメールがフィッシング詐欺か検証する。
2022.12.05 →【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。
2022.11.21 →【楽天カード株式会社】アカウントが停止される可能性がございます。というメールがフィッシング詐欺かを検証する
2022.11.08 →【緊急連絡】[楽天市場]情報の有効期限が切れ、アカウントの使用が停止されました. というメールがフィッシング詐欺かを検証する
2022.10.04 →【楽天カード】ご利用のアカウントを一時保留いたしました というメールがフィッシング詐欺か検証する
2022.08.02 →楽天のサービスと誤認させる仮想通貨取引プラットフォームのフィッシング詐欺がFacebook広告で増加中
2020.10.03 →【重要】あなたのアカウントは盗難の危険にさらされていますという楽天からのメールがフィッシング詐欺か検証する
2020.07.21 →【あなたのアカウントは異常行為で制限されています。】という楽天からのメールがフィッシング詐欺か検証する
関連記事
カテゴリ:スパム,フィッシング
タグ:スパムメール,フィッシング詐欺,楽天,楽天市場