『詐欺メール』「未配信メッセージ (2)」と、来た件

★フィッシング詐欺解体新書★

迷惑メール分別されないようbiglobeのアドレスを使い

「postmaster@03.bounce.. 」って差出人から午前中にメールが3通。

ポストマスターってことなのでメールサーバーからなのでしょうか？
差出人のメールアドレスはバラバラながら書いてある内容はどれも同じで
「午前 08 時 11 分、同期エラーにより 2 件のメールが差出人に返送されました。」と…

だいたいいくらメールサーバー管理者だとしても、メールに差出人の署名くらいは書くでしょ？
「©2023、メールセンター」なんて、これじゃどこのサーバーかさっぱりわかりません…

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 未配信メッセージ (2)」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「postmaster@03.bounce.. <axh33983@biglobe.ne.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

ドメインに”biglobe.ne.jp”が使われていますが、嘘です。
ビッグローブ株式会社が運営するインターネットサービスプロバイダのひとつ。
このようなドメインのメールアドレスを偽装することで迷惑メールと判断されて自動削除
されないようにしていると思われます。

ロシアからのメールだった

では次に本文。

同期エラーでメールが2通返信されたと書かれています。
あたかもエラーによってメール2通が差出人に返されたような虚偽。
受取人は、大切なメールなのかもしれないと思い焦ってリンクをクリックしてしまいそうです。

そのリンクは「メッセージを受け取る >>」って書かれたところに張られていて、リンク先の
URLとトレンドマイクロの「サイトセーフティーセンター」での評価がこちらです。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”aorz.ru”
”.ru”は、ロシアに割り当てられた国別ドメインです。
このドメインにまつわる情報を取得してみます。

レジストラは、REG.RUというドメイン・ホスティングのサービス。

そしてこのドメインを割当てているIPアドレスは”31.31.198.183”
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上でご覧ください。

ピンが立てられのは、ロシアの「モスクワ」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

危険と言われると見に行きたくなるのが人情と言うもの。
安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

おっと、ChromeがブロックしてきましたのでGoogleではすでに危険なサイトとして
認知されているようです。

構わず先に進んでみます。

すると開いたのは、「Active! mail」と書かれたログインページ。
「Active! mail」はウェブサーバー内にあるメールサーバーのコントロールパネル。
どうやら犯人は、ここにログインさせることでサーバーのユーザーアカウント情報を盗み取るのが
目的なのですね。

サーバーを乗っ取り、そのサーバーを使い詐欺サイトの構築や、詐欺メールの配信を行うものと
想像できます。

まとめ

これらのメールは、うちの事務所のinfoアカウント宛に送られてきたもので
きっと、infoアカウントならサーバー管理者に届くことを期待したのでしょう。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;