ビューカードを詐称するフィッシング詐欺

ビューカードを詐称するフィッシング詐欺の記録。

Received: from jreast.co.jp ([119.140.254.112])
From: "VI‌EW​'s​ ​N‌ET"
Subject: 【VI‌‍EW's NET】JRE‌ PO​IN‍T進呈のご案内（リンク有効‍‍‍期限‍‍：48時間​） N‌o.04556413

《ビューカード会員の皆さまへ》

この度、キャンペーン対象として、JRE POINT 20,000ポイント（20,000円相当）を進呈いたします。

▼受け取りはこちら（有効期限：48時間以内）
https://www.viewsnet.jp/ (https://9da6e8d5.supportssc.pages.dev/gfzazpmhhf7k3)

ご注意：
- このリンクは、お客様専用の一次限りのURLです。
- 48時間を超えてのアクセスは無効となります。
- 期間を過ぎた場合、ポイントの受け取りはできません。

お早めのご対応をお願い申し上げます。
なお、ご不明な点はVIEW's NET内からご確認いただけます。

────────────────
配信圆：株式会社ビューカード
────────────────
Copyright(C) Viewcard Co.,Ltd. All Rights Reserved. 

• フィッシングサイト: 9da6e8d5.supportssc.pages.dev
• フィッシングサイト: contact.tianlongxiang.com
• フィッシングサイト: marcurares.com
• 送信元: China Telecom

メイル記載の URL は Cloudflare Pages の特定バージョンのみに _redirects を仕込んでいるようだ。
HTTP ステータスコード 302 で contact.tianlongxiang.com にリダイレクト。 contact.tianlongxiang.com では URL 末尾 token= の値が合致すれば marcurares.com に、しなければ www.google.com に JavaScript window.location.replace でリダイレクト。調査妨害の一環か?

tianlongxiang.com、marcurares.com ともに GNAME 登録、DNS は AliDNS。
前者は NTT、後者は Tencent 収容。

contact.tianlongxiang.com. 600  IN      A       64.83.33.59
marcurares.com.         600     IN      A       43.165.174.150

Cloudflare Pages の特定バージョンのみに仕込んで、その特定バージョンの URL を使う点に、巧妙さというか狡猾さを感じる。
サイト全体はフロントエンドエンジニアのポートフォリオサイトを装っているが、普通ポートフォリオに supporttssc なんてサブドメインは使わないし、連絡先として表示しているドメインが未登録ということもない。