「楽天カードの利用案内をかたるフィッシングメールがエグすぎた」…楽天カードを利用しているユーザーの1人ですが、聞き捨てならない「重大ニュース」です。
(私宛の請求金額案内メール)
楽天カード利用案内 フィッシングメール
記事要約 引用元: マイベストプロ佐賀(2024年5月24日)
短縮URLに注意!楽天カードの利用案内をかたるフィッシングメールがエグすぎた
本物そっくりの体裁でやってきたメール
●先日、私のメインメールアドレスに楽天からの利用通知メールが届きました。 内容に全く心当たりがないのと、通販に使用していないアドレス宛に来たメールだったため、すぐに詐欺メールだとわかりました。
しかし、そのメールは体裁が本物そっくりで油断していると間違ってしいまいそうな出来です。
●楽天のロゴをそのまま利用し体裁もいかにも本物であるかのような精巧さで、人によっては信じてしまうかもしれません。 でも、これは絶対に内容に触れてはいけないメールです。
●記載されたリンクにはほとんどが短縮URLが貼られていて、これらを少し調べてみたのですが、驚くことに正規のサイトにリダイレクトされるようでした。
そのほかに記載されている別URLリンクもサンドボックス上でアクセスして調べようとしたら一度は正規のサイトが開くものの、その後は全部切断されてしまいました。
短縮URLを使用した巧妙なフィッシングの手口
●ユーザーが短縮URLへアクセスすると、実際に正規のWebサイトが表示されます。
この段階では、ユーザーは不審に思いません。 ところが、このWebサイトは、攻撃者が用意した悪意のあるサーバーを経由して表示されています。
●ユーザーがログイン情報やクレジットカード情報などの個人情報を入力すると、その情報は悪意のあるサーバーに送信されます。 その後、ユーザーは本来の正規Webサイトにリダイレクトされます。 そのため、情報漏洩に気づきにくくなります。
●この攻撃の手口は、短縮URLとオープンリダイレクト脆弱性の組み合わせを利用していて、非常に巧妙です。 ユーザーは、一見すると安全な正規Webサイトにアクセスしているように思いますが、実際には個人情報を盗み取られます。
●この手法がエグいのは、ユーザーが最初に本当のサイトにリダイレクトされるため、その後のリダイレクトに疑いを持つことが難しい点にあります。 URLが正規かどうか調べるという最初の対策が無効化されてしまうのです。
【ほかの記事中、項目】
- なぜフィッシング詐欺はなくならないのか
- フィッシングメールへの有効な対策とは
【記事全文を読む】
※マイベストプロ佐賀:九州朝日放送(株)、(株)ファーストブランド、(株)電通関西支社の三社共同運営。
同案内メール(上画像)を何通か確認しましたが、「ご利用明細を確認する」にマウスを載せると正規のURLでした。 記事では [https://r10.to/hDQofl] など
いままで、何度かメールのリンクからログインしたこともありますが、これからは、ブックマークの正規アドレスからログインすることにします。
※わたしの楽天カード体験記は下記より
カードを使用するとメールが届く「楽天カード」、年会費は永年無料(条件なし)。非公開の「マイページ」で楽天ポイント管理とカード不正利用を監視。
 | ポイント受取ステップ 概要
例:特典5000ポイントの場合 |
 | STEP-1
楽天カードをお申し込み(ネット入力) |
 | STEP-2
楽天カードをお受け取り(1週間以内) |
 | 新規入会特典
2,000ポイントお受け取り
受取日:カード配達日以降 |
 | STEP-3
楽天カードを初回利用(店・自動引落) |
| カード利用特典
3,000ポイントお受け取り※
受取日:翌月(初回決済日27日以降) |
※進呈ポイント↓が上がると2回目受取も増えます。
Ezorisu Category エゾリスのカテゴリ(目次)
