『詐欺メール』『緊急の対応が必要です: 電子メールの検証が必要です』と、来た件

★フィッシング詐欺解体新書★

私がサーバー管理者ですが、それが何か？

いつもご覧いただきありがとうございます！

いつも当たり前のように利用しているメールですが、受送信メールを放置しているといつの間にか
容量がいっぱいになってしまい受送信できなっくなったなんてとこありますよね？
私のように、仕事柄メールにファイル添付することが多くあると余計にサーバーを圧迫している
なんてことが度々です。

さて、そんなメールサーバーなのですが、最近このようにメールサーバーの管理者に成りすまし
偽サイトに誘い込みログイン情報を詐取しようとする悪質なメールが多く届きます。

今回ご紹介するこのメールは、自社のinfoアカウント宛に届いたもの。
確たる理由も無く『緊急の対応が必要』だと、受信者を煽り不安がらせて偽サイトへ誘導する手口です。
差出人名に『Admin Support』とあり、さもメールサーバーの管理者のようにふるまっていますが
何を隠そうメールサーバーの管理者は、このメールを受け取った私本人です！(笑)

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきます。

件名は『[spam] 緊急の対応が必要です: 電子メールの検証が必要です info@*****.*** On March 12, 2024 at 07:12:20 PM』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『*****-Admin Support メールボックスサーバーシステム <info@*****.***>』
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

差出人のメールアドレスは、わが社の代表アカウント宛に届いたものですが、差出人のアドレスも
受信したアドレスと全く同じものが使われています。

シカゴから発信

では、このメールが悪意のあるメールであることを立証していきましょうか！
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

ここに掲げた”Received”は、ヘッダー内に複数ある”Received”の中で時系列が一番古いもので
このメールを差出したデバイスの情報と最初に通過したサーバーの情報が刻み込まれています。
因みにここに記載されている”akinet.jp”は、『有限会社広島インターネット』さんのドメイン。
まあこれもウソでしょうね。

”Received”に記載されているIPアドレスは、差出人が利用したメールサーバーの情報で
ここを偽装することはできませんのでこれを紐解けば差出人の素性が見えてきます。
このIPアドレスを元に送信に使われた回線情報とその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、アメリカのシカゴ近郊。
そして送信に利用されたプロバイダーは、日本にも拠点があるアメリカの『Kamatera, Inc.』
このメールは、この付近に設置されたデバイスから発信され、このプロバイダーのメールサーバー
を介して私に届けられたようですが、どうしてうちのメールサーバーがアメリカシカゴから
よそのプロバイダーを利用してメールを送ってくるのでしょうか？(笑)

リンク先はブラジルのドメイン

では引き続き本文。

『ログインの中断を避ける』なんて、どことなく違和感を感じますね。

このメールは詐欺メールですから詐欺サイトへのリンクが付けられています。
そのリンクは『ログインを再検証する』って書かれたところに付けられていて、
そのリンク先は、コンピュータセキュリティブランドのトレンドマイクロの
『サイトセーフティーセンター』での危険度はこのように評価されていました。

既に『フィッシングサイト』としてしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”marizcomunicacao.com.br”と、ブラジルの国別ドメイン。
このドメインを割当てているIPアドレスの情報を取得してみます。

このドメインを割当てているIPアドレスは”162.241.203.180”
このIPアドレスを元にサイト運営に利用されているホスティングサービスとその割り当て地を確認してみます。

(※IPアドレスから導き出された位置情報は、必ずしもそれほど正確ではありません)

地図に立てられたピンの位置は、アメリカのアトランタ付近。
利用されているホスティングサービスは、世界で初めてのドメイン登録業者として知られている
アメリカバージニア州に拠点を置く『Network Solutions, LLC』
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険だと聞かされると余計に見に行きたくなるのが人間のサガ…(;^_^A
それを承知で、しっかりとセキュリティーの整った環境下で見に行ってみました。

いつかの詐欺メール調査で見たようなページが開きました。
どうやらメールサーバーの容量は1GBが割当てられているようですが、既に924.22MB使用しているので
今にも溢れそうです。(;^_^A

適当にパスワードを入力してログインボタンを押してみると…

ブロックされてこれ以上進めませんでした。(笑)

まとめ

目的はメールアカウントの乗っ取りでしょう。
ドメインから簡単に利用しているホスティングサービスは分かりますからね！
恐らくメールアカウントを乗っ取り、そのメールアカウントを利用して新たな詐欺メールの発信を
行うのでしょう。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;