騙されるな![楽天]注文は停止されました【楽天市場】支払情報一致していません

ログインIDパスワードは入力しないで

フィッシング詐欺の可能性があります

お客様の注文と楽天アカウントを停止させていただいております。請求先住所が変更されたなど、理由で発生する可能性があります。アカウントにログインして画面の指示に従うことで、アカウントの停止状態を解除していただけます。

身に覚えのある、ないに関わらずこのようなメールがきたらまず疑ってください。

すぐに確認を

本当に何か注文しているようでしたら注文番号をご確認ください

注文した覚えがなければ何もしない

ログインパスワードが狙われてる

本メールはお客様によるお楽天アカウントのご更新が必要な場合にお知らせする

○○○様

   お客様の注文と楽天アカウントを停止させていただいております。請求先住所が変更されたなど、理由で発生する可能性があります。アカウントにログインして画面の指示に従うことで、アカウントの停止状態を解除していただけます。

  下記にあるタブをクリックしていただき、注文情報をご確認または変更。

[注文番号] 996165-20200930-649
[店舗受付日時] 2020/09/30 6:35:13
[お支払い方法] クレジットカード決済

 

ログインURLは

https://login.rakuten.co.jp.reise/

上記にはアクセスしないでくださいね。ここにアクセスすると、ログインIDとパスワードが盗まれてしまいます。

このような誘導してログインIDパスワードを収集する手法をフィッシングといいます。

jp.reise ドメインを調べる

.reiseは2015年に新たに誕生し、ドイツ語で「旅」を表す新gTLDです。ドイツ人旅行者向けの日本観光サイト、ドイツで旅行業を行う法人、ドイツ旅行関連のウェブサイトにおすすめのドメインです。

これをwohisで調べた所、ほとんどの項目が、

REDACTED FOR PRIVACY

と表示されていて、

Redacted for Privacy 以前は公開されていましたが、GDPRに対応することで非表示となった情報。であり、誰が運営しているのか全く分かりません。辛うじて分かるのは

Registrant Country: US

アメリカの方、会社か、個人かフィッシング詐欺団体か。が取得されているのであろうと思います。ここでUSとなっていても、実際に利用しているのは他国の方かもしれません。

メールヘッダを調べる

メールには差出人から、どのメールサーバを通ったかの履歴を追えるヘッダがついています。

Return-Path: <qefjpjsoig@yahoo.co.jp>
Delivered-To: 
Received: (qmail 25371 invoked by uid 101); 30 Sep 2020 06:35:16 +0900
Delivered-To: 
Received: (qmail 25367 invoked by uid 101); 30 Sep 2020 06:35:16 +0900
Delivered-To: 
Received: (qmail 25361 invoked by uid 101); 30 Sep 2020 06:35:16 +0900
Received: from unknown 
  by 0 with SMTP; 30 Sep 2020 06:35:16 +0900
Received: from yahoo.co.jp (v118-27-75-123.h9iy.static.cnode.io [118.27.75.123]) (envelope sender: <qefjpjsoig@yahoo.co.jp>)
    (not using TLS) by a (Active!Hunter) with ESMTP id eGi613076A;
    Wed, 30 Sep 2020 06:34:58 +0900
Message-ID: <35950E8D7FFAB2553BCAEB870FCA7579@yahoo.co.jp>
From: =?utf-8?B?44CQ5qW95aSp5biC5aC044CR?= <order@rakuten.co.jp>
To: <>
Subject: =?utf-8?B?W+alveWkqV3ms6jmlofjga/lgZzmraLjgZXjgozjgb7jgZfjgZ8gIDIwMjA=?=
    =?utf-8?B?LzA5LzMwIDY6MzU6MTM=?=
Date: Wed, 30 Sep 2020 06:35:05 +0900
Mime-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0395_01B14461.1369F210"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V10.0.14393.2007

これです。

この記載により差出人は

IPアドレス 118.27.75.123

を持つ者でである事が分かりました。

inetnum:        118.27.0.0 - 118.27.127.255
netname:        interQ
descr:          GMO Internet, Inc.
descr:          CERULEAN TOWER,26-1 Sakuragaoka-cho,Shibuya-ku,Tokyo 150-8512,Japan
admin-c:        JNIC1-AP
tech-c:         JNIC1-AP
remarks:        Email address for spam or abuse complaints : abuse@gmo.jp
country:        JP
mnt-by:         MAINT-JPNIC
mnt-lower:      MAINT-JPNIC
mnt-irt:        IRT-JPNIC-JP
status:         ALLOCATED PORTABLE
last-modified:  2018-08-03T01:51:35Z
source:         APNIC

発信元は日本です。日本人が関与している可能性がある事。または、このホストが踏み台にされている可能性があります。interQはGMOが運営しているプロバイダで、クレジットカードのいらないプロバイダである事をうたっています。

それも、新規受付が終了しているところを見ると、他にも不正などで利用された形跡があったのかなとちょっと勘繰りたくなります。

メール返信先がyahoo

一番おかしな点は、Return-Path: qefjpjsoig@yahoo.co.jp という返信先です。

楽天が運営しているのに、差出人はyahooの返信先を利用しています。

ここまでくると、確実におかしいですよね。

X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V10.0.14393.2007

 

送信者はOutlook Expressを利用していますね。

古いOSを利用していそうです。

バージョン6
2001年9月20日、Internet Explorer 6.0とともにリリースされた[7]。対応OSは、Windows 98/Me/NT4.0/2000。2001年11月に発売されたWindows XPにも標準でバンドルされた。