今までは、リンクを隠すだけのテキスト風HTMLメールでしたが、

12/13はしっかりHTMLメール

件名：カード利用のお知らせ

From：楽天カード株式会社 <info＠mail.rakuten-card.co.jp> (を偽装)

本文：

不正なログイン画面にご注意ください
楽天カード カード利用お知らせメール
楽天e-NAVIへについて詳しいことは こちらでしお調べください。

で始まるリモート画像や表と、危険リンク入りのHTMLメール

添付ファイル：(なし)

判りにくいので、リモートコンテンツ非表示での画像を貼り付けておきます。

本物のメールではリンクが多数あります。

https://www.virustotal.com/#/url/167508e437715448087727cbe660cb6294739ce63b796423ae8a80953682bae1/detection

https://www.virustotal.com/#/url/f1660cbf3829e39f18e22a9a9c33257b922b1212d4031c33fc464bb9597d80ab/details

こういうリンクは、virustotalでのDetailsタブに出るIPアドレスが同じことが通例で、

一つの配布サイトに複数の名前を付けてメールがばらまかれます。

virustotalの検索でIPを入れると、

https://www.virustotal.com/#/ip-address/185.17.26.218

MOREボタンを押すと多数出ます。URLマッチングでのフィルタリングは困難といったところでしょう。

そのURLから、403 Forbiddenを表示しつつ、

楽天銀行の重要な情報.zip

がダウンロードされます。

zipの中身は、

楽天銀行の重要な情報.DOC.js

でした。

https://www.virustotal.com/#/file/43ce50cf11ea52211f19ac5635133b1d49375e42b69fb4d61e69291b7d48de8e/detection