【注意喚起】フィッシングメール　楽天カード

Byrurineko

7月 19, 2023 #IPアドレス, #フィッシングメール, #ヘッダー, #メール, #偽装, #楽天, #見分け方, #解説, #詐欺メール

この記事を読むおよそ時間 2 分

楽天カードから以下のメールが飛んで来た

まずは、おそらくカードが不正利用された場合に飛んでくるメールをフィッシングメールとして
送信してきてるだけなのだが、見分けがつきにくいので、注意喚起として掲載しておきます。

Table of Contents

最初に結論

これは、冒頭に書いた通りフィッシングメールです。
なので、下記リンクは消していますが、リンクを踏んだ先にある個人情報を入れるフォームへの
情報入力は絶対にしない下さい。

解説

そもそも、フィッシングメールと見分ける方法ですが、
ここに記載されている電話番号は、れっきとした楽天が運営している番号のようです。
紛らわしいのですが、番号だけで検索すると、その正しいと書かれているところがミソです。
番号は正しいけど、メールはフィッシングメールなのです。

そして、凄く良く無いサイトがあり、下記の要に今すぐ電話連絡しましょうと書かれています。
番号は正しいので、今起きている状況を詳細にお話したら、カード状態を調べていただけ
そのメールはフィッシングメールだと調べてはくれるので、半分あってるけど
基本的に、番号も含めてフィッシングメールの場合があるので要注意です。

見分け方

本文にあるこのアンカー（リンク　Aタグといわれている）に埋まっているURLが
chromeであれば、マウスをリンクの上に持っていくと、飛び先のURLがブラウザーの一番下に出てきます。
下記画像の赤枠の所です。

楽天カードは、何をするにしても基本は、【https://www.rakuten-card.co.jp/e-navi】から始まるURLである為
ここに出てくるURLみたいな、リンクは書きませんが、なんちゃらなんちゃら.comみたいな事には
ならないのです。

もう1つの見分け方

届いたメールヘッダーからみる方法です。
だいたい下記のような感じになっていると思います。

ざっと眺めてください。

　　　　　　　　　　　　　　　　　　　　ヘッダ情報

1．Return-Path: info@faq.rakuten.co.jp
2．Delivered-To: abcd@hogehoge.com
3．Received: from localhost (localhost [127.0.0.1]) by mx10.110110.jp (Postfix) with ESMTP id
　 B0EB27FE68 for abcd@hogehoge.com; Mon, 17 Jul 2023 00:59:41 +0900 (JST)
4．Received: from mx10.110110.jp ([127.0.0.1]) by localhost (vmx.zero.jp [127.0.0.1])
　　(amavisd-new, port 10024) with ESMTP id w0zcMgdsfsswWMmUj
　　for abcd@hogehoge.com; Mon, 17 Jul 2023 00:59:41 +0900 (JST)
5．Received: from faq.rakuten.co.jp (unknown [122.241.59.253])
　by mx10.110110.jp (Postfix) with ESMTP id 4932D7FE63 for info@faq.rakuten.co.jp To:
6．Subject: =?utf-8?B44CQ6YeN6dsfdsfdsfdsfdsgfsdgsdgfds44Gu44GU6YCj57WhIA==?=
7．Message-ID: 20fdfdsfdsfdsfs307170fdsfdsfds00002836775@faq.rakuten.co.jp
8．X-mailer: Foxmail 6, 13, 102, 15 [cn]
9．Mime-Version: 1.0
10．Content-Type: multipart/alternative; boundary=”=====003_Dragon541416725246_=====”
11．X-P3Scan: Version 2.3.2 by laitcg@cox.net/folke@ashberg.de

＃	ヘッダ情報	解説	正常／偽装
1	Return-Path	返信先を定義している	90％程度正常
2	Delivered-To	送信先を定義している	正常
3	Received: from localhost	サーバ内でループバック処理などで複数ツールなどを経由して場合追加されていく＃3については、Postfixが最後に処理をした事を意味している	正常
4	Received: from	サーバ内でループバック処理などで複数ツールなどを経由して場合追加されていく＃4については、amavisd-new(ウイルス検索ツール)が途中介入して処理をした事を意味している	正常
5	Received: from	※ここ重要　faq.rakuten.co.jp (unknown [122.241.59.253]) 楽天のメールサーバの様に思いますが、ここ偽装されています 122から始まる番号を、インターネット界ではIPアドレスと言っており、いわゆる番地を意味します。楽天は、日本の会社なんので、このIPアドレスも日本に割り当てがある番号が記録されるはずですが、これを調べると下記の通り中国から送信されたことが分かります。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ role: CHINANET-ZJ Lishui address: No.466 Liqing Road,Lishui,Zhejiang.323000 country: CN　　　→　（中国） phone: +86-578-2179009 fax-no: +86-578-2179013 e-mail: anti-spam@mail.lsptt.zj.cn remarks: send spam reports to anti-spam@mail.lsptt.zj.cn remarks: and abuse reports to anti-spam@mail.lsptt.zj.cn remarks: Please include detailed information and times in UTC admin-c: CH103-AP tech-c: CH103-AP nic-hdl: CL59-AP mnt-by: MAINT-CHINANET-ZJ last-modified: 2011-12-06T00:11:26Z source: APNIC ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝本件本元だと、下記の様な表記になります。 Received: from mftprmb45-077.smtp.rakuten.co.jp (mftprmb45-077.smtp.rakuten.co.jp [133.237.45.77]) 番地の所有者を見ても、ちゃんと楽天株式会社となっています。＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 133.237.0.0/16 (マスク範囲) b. [ネットワーク名] RAKUTEN-NET f. [組織名] 楽天株式会社 g. [Organization] Rakuten,Inc. m. [管理者連絡窓口] JP00179607 n. [技術連絡担当者] JP00179607 o. [Abuse] p. [ネームサーバ] ns04.rakuten.co.jp p. [ネームサーバ] ns02.rakuten.co.jp p. [ネームサーバ] ns05.rakuten.co.jp p. [ネームサーバ] ns06.rakuten.co.jp p. [ネームサーバ] ns01.rakuten.co.jp p. [ネームサーバ] ns03.rakuten.co.jp [割当年月日] 2013/03/27 [返却年月日] [最終更新] 2021/10/07 14:56:02(JST)	異常
6	Subject:	いわゆる題名	正常
7	Message	メールには、1通1通固有のIDが付加されています。	正常
8	X-mailer	偽装したメールサーバのバージョンが見えていますね。ここでもCN（中国）と記載されていますね。ここは流石に偽装できなかったのですね。	正常だけど、見分けるポイントあり
9	Content-Type	コンテンツのタイプを定義されています。	正常
10	X-P3Scan	送信元でウイルススキャンされたツールバージョンがみえてますね。	正常