【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。
Amazonプライムの自動更新設定を解除いたしました!というメールがフィッシング詐欺か検証する(2022年版)
【楽天重要なお知らせ】というメールがフィッシング詐欺か検証する。
公開日:
【楽天重要なお知らせ】というメールがフィッシング詐欺か検証します。
メールの件名は【楽天重要なお知らせ】です。
モニタリングにより異常ログインを発見したため、お 客様がご利用しているお支払い方法を変更したい、といった内容です。
メール本文は以下の通り。
楽天アカウント:【example@hotmail.com】
弊社のモニタリングによると、異常ログインを発見し、お 客様がご利用しているお支払い方法を変更したいと考えています。
・ログイン日時: 15:18:40
・IPアドレス: 204.216.19[.]195
お客様の個人情報を保護するため、以下の 措置を行います
–アカウントを一時的に無効します。
–不正アクセスによると他の変更は無効になります
お客様のアカクントを再度に有効することができるため、下のリンクをクリックして、指示された手順に従ってください。
確認アカウント
https://www.btcetn[.]xyz/
(直接アクセスできない場合は、手動でブラウザにコピーして開いてください)
====================
· このアドレスへの返信は出来ませんので、ご注意ください。
· パスワードは誰にも教えないでください。
· 個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
· オンラインアカウントごとに、異なるパスワードを使用してください。
まずは送信元を確認してみます。
|
1 2 |
From: info <zrcdjdtaryxqnbx@hotmail[.]com> Return-Path: zrcdjdtaryxqnbx@hotmail[.]com |
送信者名はinfoとなっていますが、送信元アドレスもReturn-PathのアドレスもHotmailのアカウントです。
送信元のサーバーを調べてみます。
|
1 2 |
Received: from TYZPR01MB3984.apcprd01.prod.exchangelabs[.]com ([fe80::6367:35d4:adb9[:]46bc]) |
fe80::6367:35d4:adb9[:]46bcというIPアドレスが出てきました。
このメールを調べると、送信経路を偽装している形跡があり、送信元を特定できませんでした。
次にメール本文中にあるリンクの遷移先について調べてみます。
リンクの遷移先は、本文中に直接URLリンクが表示されているものでした。
メールのソースコードをbase64でデコードしても、下記のように遷移先が表示されます。
|
1 |
<a href="https://www.btcetn[.]xyz/">https://www.btcetn[.]xyz/</a> |
遷移先であるドメインのbtcetn[.]xyzについて、whois情報を調べてみると、
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
Domain Name: BTCETN[.]XYZ Registry Domain ID: D265315277-CNIC Registrar WHOIS Server: grs-whois.hichina.com Registrar URL: Updated Date: 2022-12-04T02:29:51.0Z Creation Date: 2021-12-21T11:16:59.0Z Registry Expiry Date: 2022-12-21T23:59:59.0Z Registrar: Alibaba Cloud Computing Ltd. d/b/a HiChina (www.net.cn) Registrar IANA ID: 1599 Domain Status: ok https://icann.org/epp#ok Registrant Organization: cao li ping Registrant State/Province: si chuan Registrant Country: CN Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Name Server: DNS15.HICHINA.COM Name Server: DNS16.HICHINA.COM DNSSEC: unsigned Billing Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of WHOIS database: 2022-12-07T07:11:53.0Z <<< |
レジストラはアリババクラウドのサービスです。登録者の国は中国です。
ネームサーバーも中国のDNSサービスを利用していました。
安全を担保したうえで、このURLにアクセスしてみます。
すると、
このように、楽天カードのログイン画面をコピーした偽のサイトが運用されていました。
案内に沿ってログインすると、
このように、例によってログイン直後にカード番号やセキュリティコードの入力を求められます。
ログイン画面のIPアドレスは198.55.122[.]165です。
このIPアドレスのwhois情報を調べてみると
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 |
NetRange: 198.55.96[.]0 - 198.55.127[.]255 CIDR: 198.55.96.0/19 NetName: QUADRANET NetHandle: NET-198-55-96-0-1 Parent: NET198 (NET-198-0-0-0-0) NetType: Direct Allocation OriginAS: AS8100 Organization: QuadraNet Enterprises LLC (QEL-5) RegDate: 2012-12-28 Updated: 2018-08-30 Ref: https://rdap.arin.net/registry/ip/198.55.96.0 OrgName: QuadraNet Enterprises LLC OrgId: QEL-5 Address: 19528 Ventura Blvd #433 City: Tarzana StateProv: CA PostalCode: 91356 Country: US RegDate: 2018-06-07 Updated: 2018-10-11 Ref: https://rdap.arin.net/registry/entity/QEL-5 ReferralServer: rwhois://rwhois.quadranet.com:4321 OrgAbuseHandle: QUADR4-ARIN OrgAbuseName: QuadraNet Abuse OrgAbusePhone: removed phone number OrgAbuseEmail: removed email address OrgAbuseRef: https://rdap.arin.net/registry/entity/QUADR4-ARIN OrgTechHandle: QNO6-ARIN OrgTechName: QuadraNet Network Operations OrgTechPhone: removed phone number OrgTechEmail: removed email address OrgTechRef: https://rdap.arin.net/registry/entity/QNO6-ARIN # # ARIN WHOIS data and services are subject to the Terms of Use # available at: https://www.arin.net/resources/registry/whois/tou/ # # If you see inaccuracies in the results, please report at # https://www.arin.net/resources/registry/whois/inaccuracy_reporting/ # # Copyright 1997-2022, American Registry for Internet Numbers, Ltd. # |
QUADRANETという米国のホスティングサービス会社のものでした。このホスティングサービスは当サイトでもお馴染みの、フィシシングサイトの運用によく利用されているサービス会社です。
このIPは、前回の投稿で紹介したメールの遷移先と、同じIPでした。
前回の投稿
【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。
【楽天重要なお知らせ】というメールはフィッシング詐欺
【楽天重要なお知らせ】というメールはフィッシング詐欺です。
このメールは楽天カードの公式ドメインからではなく、送信経路を偽装した形跡のあるメールです。
メールから案内されるサイトのドメインは、中国のアリババクラウドサービスのドメインで、ネームサーバーも中国のネームサーバーを利用しています。また、実際のリンクの遷移先サイトは米国ホスティングサービスのもので、楽天カードのログイン画面を模した偽のサイトです。
くれぐれもアカウント情報や個人情報、クレジットカード情報などを入力しないようご注意ください。
関連するこの記事も読まれています
2022.12.07 →【楽天重要なお知らせ】というメールがフィッシング詐欺か検証する。
2022.12.05 →【楽天】RakutenIDのロックを解除するには、以下のリンクをクリックしてください。というメールがフィッシング詐欺かを検証する。
2022.11.21 →【楽天カード株式会社】アカウントが停止される可能性がございます。というメールがフィッシング詐欺かを検証する
2022.11.08 →【緊急連絡】[楽天市場]情報の有効期限が切れ、アカウントの使用が停止されました. というメールがフィッシング詐欺かを検証する
2022.10.04 →【楽天カード】ご利用のアカウントを一時保留いたしました というメールがフィッシング詐欺か検証する
2022.08.02 →楽天のサービスと誤認させる仮想通貨取引プラットフォームのフィッシング詐欺がFacebook広告で増加中
2020.10.03 →【重要】あなたのアカウントは盗難の危険にさらされていますという楽天からのメールがフィッシング詐欺か検証する
2020.07.21 →【あなたのアカウントは異常行為で制限されています。】という楽天からのメールがフィッシング詐欺か検証する
関連記事
カテゴリ:フィッシング
タグ:Rakutenラクマ,スパムメール,フィッシング詐欺,楽天,楽天カード
関連記事
人気記事
