◎2/22
2/21に届いた楽天カードを騙る、表入りHTMLメールとテキスト風HTMLメール
2/22にも同じ文面で届いていたのですが、よく調べるとURLリンク先が別で、
ダウンロードされる中身も少し違いました。
リンクは、
表入りHTMLメールの方では、
テキスト風HTMLメールの方では、
どれもIPは、
https://www.virustotal.com/#/ip-address/172.96.142.134
メール中のURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js
ファイル名は同じですが、中身は2/21のものと異なります。
◎2/21
件名:カード利用のお知らせ
From:楽天カード株式会社 <myinfo@rakuten.co.jp> (を偽装)
本文:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
楽天カードからのお知らせ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
いつも楽天カードをご利用いただきありがとうございます。
----------------------------------------------------------------------
こちらをクリックして、ご請求を詳しく説明してください:
ttps://member.id.rakuten.cojp/rms/menufwd/数字7桁<URLリンク>
※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。
万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。
-----------------------------
楽天市場 お客様サポートセンター
>電話でのお問い合わせ電話番号: 050-4328-4409
受付時間: 9:00 ~18:00 (年中無休)
※通話料は、お客様負担となります。
>チャットでのお問い合わせ受付時間: 9:30 ~翌1:00(年中無休)
>メールでのお問い合わせ受付時間: 24時間365日(年中無休)
-----------------------------
変更された情報は、以下のページよりご確認いただけます。
■楽天会員情報の管理画面ttps://member.id.rakuten.co.jp/rms/nid/menufwd
【メールアドレスを変更された場合】セキュリティ確保の観点から、変更前のメールアドレスにもこのメールを
送信させていただいております。
================================================================※当社の個人情報の取扱いについては「個人情報保護方針」をご覧ください。
ttps://privacy.rakuten.co.jp/
※本メールは送信専用です。
ご返信いただきましてもお答えできませんのでご了承ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■楽天株式会社
473;━━━━━━━━━━━━━
■楽天株式会社
lovemonk.tv-vemonk.t�
2018/2/6のテキスト風HTMLメールのパターンですが、本文内容を変えています。
そのため、「ご請求を詳しく説明してください:」といった意味不明日本語もありますし、
htmlを閉じるタグが2個あって末尾が崩れているなど、作りが雑です。
隠されたURLリンクは、
2/21に先に届いたHTMLメールと同じIPとなり、挙動も同じはずです。
◎2/21
件名:カード利用のお知らせ
From:楽天カード株式会社 <info@mail.rakuten-card.co.jp> (を偽装)
本文:
楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。
で始まるHTMLメール
2018/2/6のものと同様で表中の日付とダウンロードされるjsファイルの中身だけ違います。
画像で貼ると
各所にあるリンクは、入手できたものでは、
IPは、
https://www.virustotal.com/#/ip-address/206.221.187.175
これらのURLにアクセスすると、
楽天銀行の重要な情報.zip
がダウンロードされます。
zipの中身は、楽天銀行の重要な情報.PDF.js
このパターンもしばらく変わっていません。
前回に類似して長い1行スクリプトです。
今回も翌日未明でも検出するソフトは7/59といったところです。
◎2/15
件名:あなたのApple IDのセキュリティ質問を再設定してください。
From:Apple <noreply@email.apple.com> (を偽装)
本文:
お客様のApple ID が、ウェブブラウザからiCloudへのサインインに使用されました。
日付と時間:2018年2月14日 22:08 JST
のブラウザ: Chrome
オペレーティングシステム: Windows
IP:220.31.254.151(静岡)
上記が問題でない場合は、このメールを無視してください。
最近iCloudへサインインを行ったことがなく、他者が違法にお客様のアカウントを使用していると考えられる場合は、Apple ID<URLリンク>でパスワードをリセットしてください。
今後ともよろしくお願い致します。
Apple サポートセンター
Apple ID | サポート | プライバシーポリシー
Copyright 2018 Apple Distribution International, Hollyhill Industrial Estate, Hollyhill, Cork, Ireland.すべての権利を保有しております。
2/16時点でURLリンクは名前解決できませんが、アカウントを盗むフィッシングを意図していたのでしょう。
◎2/6
件名:カード利用のお知らせ
From:楽天カード株式会社 <support@mail.rakuten-card.co.jp> (を偽装)
本文:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【重要】カスタマセンターからのご案内
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。
万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。
ttps://www.rakuten-card.co.jp/e-navi/members/information/customer/index96424<URLリンク>
※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
<お問い合わせ先>
楽天カード株式会社 カスタマセンター
電話番号:0570-011-182
(一部ご利用いただけない場合は092-302-8311をご利用ください。)
営業時間:8:15-20:40
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
発行元 楽天カード株式会社
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2017/12/14のテキスト風HTMLメールのパターンです。
隠されたURLリンクは、
2/6に先に届いたHTMLメールと同じIPとなり、挙動も同じはずです。