『詐欺メール』さくらインターネットから『会員メニューログインに関するご確認』と、来た件

heart

1年前

乗っ取ろうにも乗っ取れない

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

もしかして『さくらインターネット』を騙ってる？

今朝、メールを受信すると『さくらインターネット』からこのようなメールが届いていました。

うちの事務所、現在は別のホスティングさーりすを利用していますが、以前このさくらインターネット
ウェブやメールのサーバーをレンタルしていた経緯があり、アカウントが残っている状態。
いつものように詐欺まがいのメールで、さくらインターネットから連らると受けているサーバーを
乗っ取ろうと企む悪い輩からのメールじゃないかと、ヘッダーソースにある”Received”を確認し
調査してみましたが、発信元はちゃんとさくらインターネットであることが確認できたので
このメールは、本物のさくらインターネットが送信したものです。

折角だから足取りをたどる

本文にはこのように記載があります。

さくらインターネットをご利用いただき誠にありがとうございます。
お客様の会員IDより以下認証画面へのログインが行われました。

・会員認証画面：h**ps://secure.sakura.ad.jp/auth/login

*****************************************************************
ログイン日時：2023年07月17日 20時38分
アクセス元IPアドレス：66.33.212.121 cartwheel.dreamhost.com
*****************************************************************

(直リンク防止のためULRの文字を一部変更しています)

もう、5年以上前に解約しレンタル料金も払っておらず当然全く利用していないので
このログインに心当たりはありません。

これは恐らくサーバーの乗っ取りなど企て悪意を持って攻撃を仕掛けたもの。
一応、ログインして悪さされていないかどうか確認してみましたが、以前のアカウントが
ゴーストで残っているだけなので実害は全くありませんでした。

折角メールにアクセス元の情報が載っているのでこのIPアドレスを元に、少し調べてみることに。
まずはドメイン”cartwheel.dreamhost.com”に付いて。

このドメインは『Proxy Protection』と言うアメリカの企業が管理しているようです。
そして割当てているIPアドレスは、メールのアクセス元として書かれていたものと同じです。

今度は、このIPアドレスに付いて調べてみます。

どうやら、このIPアドレスの持ち主は色々悪事をはたらいているようで、既に危険なIPとして
登録済みのようです。
このIPアドレスを利用しているプロバイダーは、ロサンゼルスの『New Dream Network』
で、このIPが現在利用されているおおよその位置は、ロサンゼルスから約35Kmほど南西にある
『Brea(ブレア)』と言う街でした。

まとめ

恐らくアクセスした輩は、乗っ取りなどサイバー犯罪の常習犯でしょう。
乗っ取ったサーバーにあるウェブサイトやメールアドレスを改ざんするのはもちろんのこと
その乗っ取ったサーバーを利用して、詐欺サイトを構築し詐欺メールを配信したりするものと思われます。
使っていないサーバーだから良かったものの、現在利用中のサーバーだったらと思うとぞっとします。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)