UJP - 楽天の不正ログイン通知を語るフィッシングメール

カテゴリセキュリティの最新配信
RSS
RDF
ATOM

ブログ - 楽天の不正ログイン通知を語るフィッシングメール

楽天の不正ログイン通知を語るフィッシングメール

カテゴリ :: セキュリティ » スパム・フィッシング

ブロガー :: ujpblog 2020/8/30 18:03

　楽天でアカウントを持ってないメアドに，こんなメールが来ていた．

引用：

上記のログイン記録にお心あたりがない場合は、お客様以外の第三者によってログインされた可能性がございます。
下のリンクをクリックして、安全なサーバーを使用してアカウント情報を確認してください。

続けるにはこちらをクリック

万が一、身に覚えのないご利用やご注文が確認された場合は、楽天市場トップページより「ヘルプ」をクリックいただき、「ヘルプ・問い合わせトップ」画面下部の「楽天市場へ問い合わせる」から「楽天市場お客様サポートセンター」へお問い合わせください。

※本メールはご登録いただいたメールアドレス宛に自動的に送信されています。
※本メールは送信専用です。ご返信いただきましてもお答えできませんのでご了承ください。

楽天株式会社

　ログインしたというIPアドレスは，アメリカのもので汚れてない模様．

　汚れてないIPアドレスを用いることでブロックを回避か．

　クリック先のURLは，ドメインは中国．その先にopenidへリダイレクトされるようなパラメータがついているので，そこでログインさせて搾取するのかなぁ．

　ちなみに，.cnになっているけれど，digした時のIPアドレス，112.175.150.110は，Korea Telecomでした．

　リンク先のURLをurlscan.ioでチェックすると，フィッシングだと出ますね．

　興味深くアクセスすると，こんな感じ．

　オレオレSSL証明書．この時点で敷居が高くなっている．(ブラウザによっては，直接アクセスできない)

　アクセスした先は良くあるログイン画面．興味深いのは，Englishや中文などのリンクがあるけれど，それらのページは用意されていません．

　それで，フィッシング協議会の通報メールアドレスを用いて，パスワードは「つうほうしました」をローマ字で入力してログイン．

　ログイン成功．

　面白そうなので，続けてみる．

　カード番号登録画面．丁寧に，カード番号の最初の4297は楽天カードの番号．これを適当な数字で入力してみる．

　数値を入れてカード有効期限にフォーカスを移すと，「無効カードの疑いがある。」とエラーがでた．最低限のチェックロジックはある模様．

　今日はこれぐらいで終了．

実例で見るネットの危険：国内ユーザを狙うネット通販詐欺
https://blog.trendmicro.co.jp/archives/25764

　管理ツールの8080は空いてないようだけれど，Maltegoによって22番が空いているというので，確認してみた．

$ ssh root@rakuten.co.jp.cookiesget.ol7g[.]cn🆑
The authenticity of host 'rakuten.co.jp.cookiesget.ol7g.cn (112.175.150.110)' can't be established.
ECDSA key fingerprint is SHA256:yTya7bjFTvyHEXTc+8x7TOUK7HKZgxeJK3L2X2BCfhY.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'rakuten.co.jp.cookiesget.ol7g[.]cn,112.175.150[.]110' (ECDSA) to the list of known hosts.
root@rakuten.co.jp.cookiesget.ol7g.cn's password:

　パスワード認証か．．．

ujpblogさんのブログを読む
トラックバック (0)
閲覧 (2452)

ブログ - 楽天の不正ログイン通知を語るフィッシングメール

楽天の不正ログイン通知を語るフィッシングメール

トラックバック