Received: from kghdb.cn ([194.146.39.231])
From: "えきねっと(JR東日本)" <rn@kghdb.cn>
Subject: 「えきねっと」アカウントの自動退会処理について
日頃より「えきねっと」をご利用いただきありがとうございます。
「えきねっと」は2025年6月1日にサービスをリニューアルいたしました。これに伴い、「えきねっと」利用規約·会員規約を変更し、最後にログインをした日より起算して1月以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」アカウントは、自動的に退会処理させていただくことといたしました。なお、対象アカウントの自動退会処理を、本規約に基づき、2025年6月30日より順次、実施させていただきます。
1月以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合は、2025年6月30日よりも前に、一度ログイン操作をお願いいたします。
→ログインはこちら (https://reurl.cc/K8NMby)
(後略)
(後略) 部分は https://www.eki-net.com/top/e-ticket/ にある『「新幹線eチケットサービス」ご利用にあたっての注意事項』のコピペなので省略した。本物っぽく見せようとして蛇足に至ってる印象。
- フィッシングサイト: reurl.cc
- フィッシングサイト: www.eki-net.gointo.jiahechangyin.work
- 送信元: CloudWebManage
kghdb.cn はフィッシング詐欺メイル送信用ドメインと見て差し支えないように思われる。
kghdb.cn. 1 IN TXT "v=spf1 a mx ip4:194.146.39.231/32 ~all"
kghdb.cn. 1 IN MX 5 kghdb.cn.
kghdb.cn. 1 IN A 194.146.39.231
定番とは少し違う部分がある。
- Envelope-From と From ヘッダーが同一で実在ドメイン名のアドレス。SPF も pass するように設定されている
- タイムゾーンが +0800 でない
- メイル記載の reurl.cc は中華系 URL 短縮サービスのようだ。JavaScript window.locaion.replace() でリダイレクトしている
- リダイレクト先が Cloudflare 収容でない
- リダイレクト先ドメイン名は 22.cn で登録されたもの
- サブドメインを駆使して本物と誤解させようとする努力が見える
ここ数日の定番リスト:
- お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
- Cloudflare による実 IP アドレス隠蔽
- メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
- メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
- Envelope-From は3~5文字 .com ドメイン名
- Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
- クレジットカード情報の入力を求める
実はリストに書いていない「定番」の特徴もいくつかあるのだが、今回のものは一致点も不一致点もあった。