今朝、えきねっとからのメールが間違って迷惑メールフォルダに入ってるなーと思ったら、なかなか良くできたフィッシングメールでした。ちょっと迷惑メールフォルダから取り出して見てみました。
問題のメールのスクリーンショット:
文面:
駅ねっとをご利用の皆様へ
セキュリティシステムの完全な更新のため、お客様のアカウントは停止されました。 メールが届きましたら、「クイックサインイン」をクリックし、ログインしてください。 プロフィールを更新すると、引き続きクイック購入サービスを利用することができます。
2月22日までにご記入ください。ご記入がない場合は、退会手続きをとらせていただきます。
ご利用のお客さまにはご迷惑をおかけしまして誠に申し訳ございませんが、
何卒ご理解賜りますようお願い申し上げます。
ログインはこちら
発行:株式会社JR東日本ネットステーション
〒151-0051 東京都渋谷区千駄ヶ谷5-27-11 アグリスクエア新宿4階
※このメールにご返信いただきましてもご対応いたしかねますので、
あらかじめご了承ください。
Copyright (c) 2023 JR East Net Station Co., Ltd.
許可なく転載することを禁じます。
文面の日本語に不自然なところはないですし、内容もまあありそうな内容です。強いて言えば期限があまりにも短いのと「退会手続きをとらせていただきます」がちょっと不躾 (ぶしつけ) で強引かな、と思います。
送信元のメールアドレスは webnetsat@ekinet.com です。なんかもっともらしいドメイン名ですが、Google でえきねっとを検索してサイトの URL を見てみると、正しいドメイン名はハイフンが入った eki–net.com でした。なかなか巧妙なところをついて来ますね。企業によっては似たドメインをあらかじめ取っているところもありますが、こういうバリエーションまで全部カバーするのはなかなか大変かもしれません。
念のため whois を見てみます。
- eki-net.com (本物のえきねっと) (PDF)
- ekinet.com (偽物) (PDF)
本物の方は Registrant Name がちゃんと JR East なんちゃらとなってますし (だから信用できるとも限りませんが)、住所もちゃんと記入されていますね。また、Creation Date: は 2000-03-07 ということなので、確かにえきねっとってそれぐらいにできたんだったかな、と思います。
偽物の方は Registrant のところが privacy protection かかってます。Creation Date はなんと 1998-10-02!こっちの方が古いです。もしかしたら公式が取ってたけど使わなくて放出してしまったのか、あるいは、「えきねっと」の名前が決まってからドメインを取ろうとしたら ekinet.com がすでにとられていて仕方なく公式が eki-net.com にしたのかも。
さて、「ログインはこちら」のリンクですが、https://rebrand.ly/xxxxx みたいな感じで、rabrand.ly というのはフィッシングメールで有名な短縮 URL サービスみたいですね。試しにどういう URL にリダイレクトしているか見てみると https://netstation.sou02ki3kocui92.com/… みたいな URL でした。これはもう怪しさ全開ですね。あまり引っかかる人はいないかな、と思います。
コメント