詐欺メールに注意!楽天会員アカウントの不正ログイン確認メール

ネット通販で利用する楽天市場からのメールを装ったフィッシング詐欺メールを受け取りました。最近は本当に多くて面倒です。無意識にメールのプレビュー画面からクリックしてしまったので、注意深く誘導された偽物サイトを観察してみました。

受け取った詐欺メールの内容

このようなメールの内容です。どこか違和感があるのですが気にせずクリックしたので、公式メールとことなる点を挙げてみます。

  • 差出人のメールアドレス
    よく見ると怪しいドメイン(100%詐欺メールと判定)
  • ログイン日時
    (本当に第三者かも。。。)
  • シグネチャ(メール下部の会社名)がシンプルすぎる
    (いつもの楽天市場、楽天会員と異なる)

差出人メールアドレスのドメインに注意!

ドメインとは@(アットマーク)より右側の部分で、今回はrakuten-co-jpservice.ddnsfree.com と表示されています。

本当のドメイン名はddnsfree.comとなっていて、サーバーの知識がある人が自宅のパソコンをWEBサーバーやメールサーバーとして使えるドメイン無料登録サービスを使っていることが分かりました。(興味がある方はddnsfree.comにアクセスするとわかります。英文 誰でも使えるサービスです。)

rakuten-co-jpserviceという文字列を加えることで、公式アカウントに見間違えるように意図的につけていることがわかります。詐欺メールのためにお金をかけたくない、という犯罪者の意識が見えてきます。

メールのリンク先の楽天会員のページ

メールアドレスをクリックするとカラーリングは楽天そのもの(当たり前なのですが、画像は楽天の公式画像を偽ページに表示しています)よく見ると不自然な部分がありますので注意しましょう。

ブラウザのアドレス表示部分がキケンな状態です。鍵マークが外れていて暗号化されていません。この状態でユーザIDとパスワードを入力すると、サイト運営者に通知されてしまうんです。

パスワードを盗み取るHTMLソースコード

プログラムはJavaScriptで書かれているようです。画像はHTMLソースコードの一部になります。上部のコードはJavaScriptで入力したログインIDとパスワードを処理する別のファイルを呼び出しています。 下部のコードは入力したIDとパスワードを取得するコードです。

怪しいと思ったのは、JavaScriptコードを rakuten.co.jp と /Public の2箇所から部分から呼び出しているからです。

まとめ

まとめると、次のような仕組みでIDとパスワードを盗み取っています。

  1. 自宅や乗取った家庭用ルーター経由で偽サイト用のWEBサーバーを動かす
  2. DDNS(Dynamic Domain Name System)で偽サイトを立ち上げる
  3. メールサーバーで詐欺メールを無造作に送りつける
  4. 偽サイトに誘導する
  5. IDとパスワードを盗み出す。
  6. 楽天会員のサイトにすぐにアクセスし、すぐに現金を引き出す。

何気なくクリックしてしまったので、どうしてクリックしたのか、せっかくだからサイトを覗いてみようと思いちょっとだけ調べました。ソースコードやサーバーの所在地など調べて10分ほどムダな時間でした。

誰かの役に立つ?のかわかりませんが、詐欺メールの中身をすこし書いてみました。

タイトルとURLをコピーしました