◎12/13
今までは、リンクを隠すだけのテキスト風HTMLメールでしたが、
12/13はしっかりHTMLメール
件名:カード利用のお知らせ
From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)
本文:
不正なログイン画面にご注意ください
楽天カード カード利用お知らせメール
楽天e-NAVIへについて詳しいことは こちらでしお調べください。
で始まるリモート画像や表と、危険リンク入りのHTMLメール
添付ファイル:(なし)
判りにくいので、リモートコンテンツ非表示での画像を貼り付けておきます。
本物のメールではリンクが多数あります。
こういうリンクは、virustotalでのDetailsタブに出るIPアドレスが同じことが通例で、
一つの配布サイトに複数の名前を付けてメールがばらまかれます。
virustotalの検索でIPを入れると、
https://www.virustotal.com/#/ip-address/185.17.26.218
MOREボタンを押すと多数出ます。URLマッチングでのフィルタリングは困難といったところでしょう。
そのURLから、403 Forbiddenを表示しつつ、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、
楽天銀行の重要な情報.DOC.js
でした。