『詐欺メール』KAGOYAカスタマーサポートから『[アクション必須] 支払いに失敗しました。請求書の支払期限』と、来た件

heart

2日前

★フィッシング詐欺解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

締め切りに全く猶予が無いのは詐欺メール

いつもご覧くださりありがとうございます！

相変わらずホスティングサービスの『カゴヤ・ジャパン』を騙った詐欺メールが相当数送られてきています。
アカウントの有効期限が切れるとか、サーバー容量が上限に達しメールが返信されたとかなんだ甘楽理由を付けてメールアカウントを乗っ取ろうとしてきます。
今回は、メールライセンスサブスクリクションの支払いに失敗しアカウントの有効期限切れになるからリンクを辿って支払いを行うよう求めています。

件名：[アクション必須] 支払いに失敗しました。請求書の支払期限〇△□@*******.*** – 2024年11月11日
送信者：”KAGOYAカスタマーサポート” <zhanghong@wlssmee.com>お客様各位

KAGOYA ユーザーのサブスクリプションがまもなく期限切れになります。 *******.*** KAGOYA Active! メールライセンス。

請求書の概要:
請求書番号: K64922
有効期限: 2024年11月10日
締め切り: 2024年11月11日
ユーザー：〇△□@*******.***
ドメイン： *******.***

お支払いの前に、下記のリンクからKAGOYAユーザー請求書をご確認ください。

https://responses1dlcommailresponseasf787988c586a4c579760e581be3b97adem.ox1t.sbs/spacethemes/43293cac3b3dcdb6e556442f861d80b3/a29tYW8tMTMxNkBzYW5zZXR1YmkuanA=

アカウントの解約を避けるために、できるだけ早くお支払いを済ませていただきますようお願いいたします。

この件について早急に対応していただき、ありがとうございます。

それでは今後ともどうぞよろしくお願いいたします。

カゴヤ・ジャパンサポートセンター
ありがとう、

Makoto Fuji
c2024 KAGOYA | Active! mail

このメール、送信されたのが昨日11月11日の午後3時46分
それなのに支払いの締め切りも11月11日って全く猶予が無いのは詐欺メールのあるあるです。
ところで末尾にある『Makoto Fuji』ってどなたなのでしょうね？(笑)

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”wlssmee.com”
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに『KAGOYAカスタマーサポート』が利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると『@kagoya.jp』と出ました。
故にこのドメイン以外のメールアドレスで届いた『KAGOYAカスタマーサポート』のメールは全て偽物と言うことになります。

メールヘッダーの”Received”フィールドのIPアドレスからこのドメインの”wlssmee.com”の真偽を確認するとでたらめであることが分かりましたのでこのメールアドレスは偽装されているようです。
そしてそのIPアドレスから導き出したおおよそのこのメールの発信地は『中国上海市』であることも分かりました。

リンク先はドイツで稼働

さて、本文に直書きされた詐欺サイトへのリンクですがこれまた偽装で、実際に接続されるURLは以下の通りです。
【h**ps://alliedacademiesorg-user.in/kagoya-net-customer-portal/webmail.php#a29tYW8tMTMxNkBzYW5zZXR1YmkuanA=】
(直リンク防止のため一部の文字を変更してあります)

これまた『カゴヤ・ジャパン』のドメインとは異なるものが利用されていますね。
このドメイン”alliedacademiesorg-user.in”の持ち主を調べると、米国ニュージャージー州の方であることが分かりました。
このドメインを割当てているIPアドレスからそのロケーション地域を調べると、ドイツの『リンブルク・アン・デア・ラーン』付近であることが分かりました。

リンク先を辿るとどこからもブロックされることなく無防備に放置されていました。

これはウェブメーラーの『Active!Mail』のログインページを模した偽サイトです。

アカウント名とパスワードを適当に入力してログインボタンをしてみるとこのようにエラーが表示されます。

でもこれ、どうのようなアカウント名とパスワードを入力しても必ずエラーになるように仕組まれています。
そりゃそうです、奴らが欲しいのは、カゴヤジャパンでレンタルしているこのアカウント名とパスワードが必要だからです。

このような手段でアカウント情報入手しこれらを利用して不正に『Active!Mail』にログインしこのアカウントを悪用しこういった詐欺メールの配信等を行うものと思われます。

まとめ

今回のメールは『カゴヤ・ジャパン』ユーザーを対象にした詐欺メールでしたがもしかしたらそれ以外のホスティングサービスユーザーも対象にしているかも知れませんのでご注意ください。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;