残念ながら、エボスNetのアカウントを更新できませんでした。 というメールがフィッシング詐欺か検証する。
【楽天重要なお知らせ】というメールがフィッシング詐欺か検証する。
【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。
公開日: 最終更新日:
【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺か検証します。
メールの件名【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。です。
2つの不正なデバイスを検出したため、RakutenIDをロックした、これを解除するためにIDの確認を促す内容です。
メール本文は以下の通り。
サインインの試行がプロックされました。
サービスが2つの不正なデバイスを検出したため、RakutenIDをロックしました。アカウントのロックを解除するには、RakutenIDを確認して、アカウントであることを証明する必要があります。
RakutenIDのロックを解除するには、以下のリンクをクリックしてください。
すぐアカウントのロックを解除してください
https://www.evcojaf[.]xyz/
アカウントの確認をできるだけ早く完了すると、 RakutenIDは自動的にロック解除されます。
※本メ-ルはご登録いただいたメールアドレス宛に自動的に送信されています。
※本メ-ルは送信専用です。ご返信いただきましてもお答えできませんのでご了承ください。
まずは送信元を確認してみます。
|
1 2 |
From: info <jdpkf1@hotmail[.]com> Return-Path: jdpkf1@hotmail[.]com |
送信者名はinfoとなっていますが、送信元アドレスもReturn-PathのアドレスもHotmailのアカウントです。
送信元のサーバーを調べてみます。
|
1 2 |
Received: from PS2PR01MB2232.apcprd01.prod.exchangelabs[.]com ([fe80::fcdd:b0b7:5664[:]7932]) |
fe80::fcdd:b0b7:5664[:]7932というIPアドレスが出てきました。
このメールを調べると、送信経路を偽装している形跡があり、送信元を特定できませんでした。
次にメール本文中にあるリンクの遷移先について調べてみます。
リンクの遷移先は、本文中に直接URLリンクが表示されているものでした。
|
1 |
<a href="https://www.evcojaf[.]xyz/">https://www.evcojaf[.]xyz/</a> |
遷移先であるドメインのevcojaf[.]xyzについて、whois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
Domain Name: EVCOJAF[.]XYZ Registry Domain ID: D271440202-CNIC Registrar WHOIS Server: grs-whois.hichina.com Registrar URL: Updated Date: 2022-12-04T02:20:20.0Z Creation Date: 2022-01-23T14:14:36.0Z Registry Expiry Date: 2023-01-23T23:59:59.0Z Registrar: Alibaba Cloud Computing Ltd. d/b/a HiChina (www.net.cn) Registrar IANA ID: 1599 Domain Status: ok https://icann.org/epp#ok Registrant Organization: cao li ping Registrant State/Province: si chuan Registrant Country: CN Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Name Server: DNS1.HICHINA.COM Name Server: DNS2.HICHINA.COM DNSSEC: unsigned Billing Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of WHOIS database: 2022-12-05T06:11:54.0Z <<< |
レジストラはアリババクラウドのサービスです。登録者の国は中国です。
ネームサーバーも中国のDNSサービスを利用していました。
安全を担保したうえで、このURLにアクセスしてみます。
すると、
このように、楽天カードのログイン画面をコピーした偽のサイトが運用されていました。
案内に沿ってログインすると、
このように、ログイン直後にカード番号やセキュリティコードの入力を求められます。
ログイン画面のIPアドレスは198.55.122[.]165です。
このIPアドレスのwhois情報を調べてみると
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 |
NetRange: 198.55.96[.]0 - 198.55.127[.]255 CIDR: 198.55.96.0/19 NetName: QUADRANET NetHandle: NET-198-55-96-0-1 Parent: NET198 (NET-198-0-0-0-0) NetType: Direct Allocation OriginAS: AS8100 Organization: QuadraNet Enterprises LLC (QEL-5) RegDate: 2012-12-28 Updated: 2018-08-30 Ref: https://rdap.arin.net/registry/ip/198.55.96.0 OrgName: QuadraNet Enterprises LLC OrgId: QEL-5 Address: 19528 Ventura Blvd #433 City: Tarzana StateProv: CA PostalCode: 91356 Country: US RegDate: 2018-06-07 Updated: 2018-10-11 Ref: https://rdap.arin.net/registry/entity/QEL-5 ReferralServer: rwhois://rwhois.quadranet.com:4321 OrgAbuseHandle: QUADR4-ARIN OrgAbuseName: QuadraNet Abuse OrgAbusePhone: removed phone number OrgAbuseEmail: removed email address OrgAbuseRef: https://rdap.arin.net/registry/entity/QUADR4-ARIN OrgTechHandle: QNO6-ARIN OrgTechName: QuadraNet Network Operations OrgTechPhone: removed phone number OrgTechEmail: removed email address OrgTechRef: https://rdap.arin.net/registry/entity/QNO6-ARIN |
QUADRANETという米国のホスティングサービス会社のものでした。このホスティングサービスは当サイトでもお馴染みの、フィッシングサイトの運用によく利用されているサービス会社です。
【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールはフィッシング詐欺
【楽天カード株式会社】アカウントが停止される可能性がございます。というメールはフィッシング詐欺です。
このメールは楽天カードの公式ドメインからではなく、送信経路を偽装した形跡のあるメールです。
メールから案内されるサイトのドメインは、中国のアリババクラウドサービスのドメインで、ネームサーバーも中国のネームサーバーを利用しています。また、実際のリンクの遷移先サイトは米国ホスティングサービスのもので、楽天カードのログイン画面を模した偽のサイトです。
くれぐれもアカウント情報や個人情報、クレジットカード情報などを入力しないようご注意ください。
関連するこの記事も読まれています
2022.12.07 →【楽天重要なお知らせ】というメールがフィッシング詐欺か検証する。
2022.12.05 →【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。
2022.11.21 →【楽天カード株式会社】アカウントが停止される可能性がございます。というメールがフィッシング詐欺かを検証する
2022.11.08 →【緊急連絡】[楽天市場]情報の有効期限が切れ、アカウントの使用が停止されました. というメールがフィッシング詐欺かを検証する
2022.10.04 →【楽天カード】ご利用のアカウントを一時保留いたしました というメールがフィッシング詐欺か検証する
2022.08.02 →楽天のサービスと誤認させる仮想通貨取引プラットフォームのフィッシング詐欺がFacebook広告で増加中
2020.10.03 →【重要】あなたのアカウントは盗難の危険にさらされていますという楽天からのメールがフィッシング詐欺か検証する
2020.07.21 →【あなたのアカウントは異常行為で制限されています。】という楽天からのメールがフィッシング詐欺か検証する
関連記事
カテゴリ:フィッシング
タグ:スパムメール,フィッシング詐欺,楽天,楽天カード
関連記事
人気記事
