『詐欺メール』カゴヤ・ジャパンから『重要: メールアカウントがロックされました』と、来た件

★フィッシング詐欺解体新書★

ロックされてたらこのメールだって届かないでしょ?(笑)

いつもご覧くださりありがとうございます！

ホスティングサービスの『カゴヤ・ジャパン』を騙る偽メール。
鬱陶しいのでずっとスルーしてきましたがちょっと多いのでここで一発やっとこうかと。(笑)

『メールアカウントがロックされました』って届いてるじゃんかこのメールが！
バカじゃなかろうか？
普通ロックされたらメールなんて受取れないでしょ？
そんなの今時小学生でもわかるでしょうに…
宛先も『6@○□△.jp』って、数字1つのアカウント名なんてあり得ないし(笑)
本文の日本語もどことなく怪しいし。

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

偽装もせず商売敵のメールアドレスを使用

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”biglobe.ne.jp”
もうね、いい加減にして欲しいと思うのは私だけじゃないですよね？
カゴヤ・ジャパンを騙るんならここはウソでもカゴヤさんのドメインを書くでしょ？
それなのに”biglobe.ne.jp”って、あの大手ホスティングサービスの『ビッグローブ』のドメインでしょうに…
そんな商売敵のメールアドレス使うはずないじゃん！

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

ドメイン”mta-snd-w06.biglobe.ne.jp”を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得したIPアドレスです。

アハハ、この人自分のアドレス使ってこのカゴヤさんの偽メール送ってる(笑)

このReceivedフィールドの末尾にあるIPアドレスから『IP調査兵団』でメールの発信地を導き出してみると、なんと国内で『栃木県小山市』付近であることが分かりました。

目的はアカウントの乗っ取り

さて、本文の『今すぐメール アカウントを復元するには、ここをクリックしてください』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://wx-activemail-kagoya-jp.com/mail/login.html】
(直リンク防止のため一部の文字を変更してあります)
これまた『カゴヤ』さんのドメインとは異なるものが利用されていますね。

『Grupo』さんでこのドメインを割当てているIPアドレスと申請者の情報を取得してみます。

申請者はセントクリストファー・ネイビスと言う国のチャールズタウンと言う街に在住の方。
そしてこのIPアドレスからそのロケーション地域を調べると、カナダの『トロント市庁舎』付近であることが分かりました。

リンクを辿ってみると、まずはこのような警告が表示されました。

Googleでは既に偽装サイトとしてブラックリストに登録済みのようですね。無視してさきにすすんでみると今度は生体認証画面が表示されました。

『人間であることを確認します』ってところにチェックを入れるとようやく目的のページが開きました。

これはウェブ上で利用できるメールアプリの『Active!mail』のログイン画面ですね。
ここにログインさせてメールアカウント情報を取得しアカウントの乗っ取りを目論んでいるのです。
まあでもこのクオリティーの低さだと誰一人騙せないでしょうね。(笑)

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;