『詐欺メール』「【バージョンアップ】メンテナンス作業のお知らせ」と、来た件

サーバー管理者を標的
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!


バカバカしい

サーバー管理をしていると、これまたそれを標的にした詐欺の攻撃にあってしまうことも。
今回はそんなエントリーです。

このメール、ぼかしてあるところは全てうちのドメインが書かれています。
「うちの事務所ってレンタルサーバーやってたっけ?」と思うほど…

サーバーメンテナンスとメールアカウントの削除ってなにか関係あるんだろうか?
それにメールのアカウント操作なんてユーザーのコンパネに入らないとできないはず。
いくらレンタルサーバー屋さんだとしても勝手に操作しちゃダメ。
それにサービスをアップグレードするとアカウントの削除が解除できるなんてあり得ない。

では、このメールもプロパティーから見ていきましょう!


都心より発信か?!

差出人は「*****.***(うちのドメイン) サーバー管理者 <info230@f-54.com>」
こういう輩がこの項目に本当のことを記載するはずありません!
こんなメールアドレスは絶対ウソ!!
きっと全く関係のないドメインのメールアドレスに決まっています。

これはこのメールのヘッダーから必要な部分だけ抜粋したもの。

このメールいくつかのサーバーを渡り歩いてきたようで”Received”の項目が合計8つも
ありました。
ここに載せた”Received”は差出人側のサーバーが記した物で脇に添えられた4つのセグメントに
区切られた数字はそのサーバーのIPアドレス。
一番下のが”20.194.154.255”と書かれていますが、これが差出人がメールを送信して最初に
通過したサーバーが記したもの。
このIPを元に調べたおおよその位置情報がこちら。

東京の都心です。
このあたりに置かれたメールサーバーを最初に通過してメールが送られてきたことになります。

件名は「[spam] 【バージョンアップ】メンテナンス作業のお知らせ 4/29/2021 2:52:28 a.m.」
先頭の”[spam]”はうちのサーバーが付加したセキュリティー情報で迷惑メールであることを
サーバーが伝えています。
末尾の時刻スタンプはあんまり意味がないと思います。


シンガポールで運営中

本文になるURLは詐欺サイトへの接続口。

”wp-content”って文字が見えるので詐欺サイトはおそらくブログツールのWordPressで
作られているようです。

接続すると、例によって「Active Mail」というメールサーバーの管理ウェアーの
パクリページが表示されました。
ここに管理用アカウントとパスワードを入力すると、そのアカウント情報が詐取されて
サーバーの乗っ取りに遭遇します。

では、先ほどのURLにあった”its-globaltek.com”ってドメインの所在を確認してみましょう。

まず、ドメインの申請情報ですが”Country: VN””State/Province: Hanoi”とあるので
ベトナムのハノイから登録申請されています。
そして現在このドメインが使われている所在地はシンガポールと出ました。
ということは、このWordPressを使ったウェブサイトはシンガポールに設置された
ウェブサーバーで稼働していることになります。


サーバー管理差を標的にした不届き者は、こんな場所にサーバーを設置し隙を狙っているんです。
アカウントを詐取されてしまうとサーバーが乗っ取られてしまいます。
サーバーも立派な資産。
乗っ取られた先には、サーバーに不正ログインされた挙句にウェブページの改ざんや削除。
メールに至っては、メールアカウントの削除や悪用などが考えられますので企業にとっては
大きな痛手となりますので要注意です!
一般にはこのようなメールは届かないと思いますが、サーバー管理者の方はくれぐれも
お気をつけて!

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メールカテゴリの最新記事