『詐欺メール』「【バージョンアップ】メンテナンス作業のお知らせ」と、来た件

差出人がうちのドメインになってる

また、おかしなメールが来ています。
届いたのは、事務所の代表メールアドレス。
ここにもちょいちょいおかしなメールが届くんですよね、ウェブサイトで公表してるんで
仕方がないのでしょうけど。

では、いつものようにプロパティーから見ていきます。

まず、差出人。
”ここにうちのドメイン <sEUTd@hyotan-m.com>”

ぼかしてあるところにうちの事務所のドメインが記入されてます。
勝手にうちのドメイン名乗るなんて不届き者！　けしからん輩だ！！(。-`ω-)
一応”Return-Path”も”sEUTd@hyotan-m.com”ってメールアドレスにはなってるけど
ヘッダーの送信元IPアドレスから調査してみる。

”wps02.wadax.ne.jp”ってちょいちょい見掛ける見覚えのあるドメインですね。
”WADAXレンタルサーバ”が差出人では無くてここのユーザーさんで”wps02”という
サブドメインを与えられているユーザーが発信元だと思われます。
いちいち画像貼りませんが、この輩の所在地は東京と出ました。

そして件名がこちら。
[spam] 【バージョンアップ】メンテナンス作業のお知らせ【2020年9月29日】
件名だけじゃ何のバージョンアップメンテナンスか全然分かりません┐(´д｀)┌
まぁ、しっかり[spam]スタンプ入れられてるんで迷惑メールの類であることは明らか。

素っ気ない本文

これが、メールの本文。

ぼかしてあるところは全部うちのドメインが書かれています。
なんか、うちがレンタルサーバーしてるみたいで変な感じ(汗)

”お客様各位”から始まるのは、メンテナンス通知だから全然あり得ますので、これだけで
迷惑メールだとは断定できません。

文中のURLが詐欺サイトへ接続されるリンク。
このURLに”webmail”とあるので、サーバーのコントロールパネルにあるメールの設定
画面が開くんでしょうね。

ちょっと繋いでみると、ウィルスバスターがブロックしてきました。
既にトレンドマイクロでは危険なサイトであることが認識されているようですね。

ブロックされたサイトに行ってみると、やはりwebmailerのログイン画面が表示されました。

この先は行っても仕方ないので止めときます。

因みに、メールに書かれていたURLは一瞬繋がったのちにリダイレクトされ以下のURLに
接続されました。

このドメインのウェブサイトが稼働しているサーバーの所在地はドイツでした。

このメール、レンタルサーバーを装ったものですが、うちが借りてるレンタルサーバーの
名前は何処にも書かれていないので、スパムスタンプが無くても被害は少ないかと思います。
もし被害に遭ったとすれば、サイトの乗っ取りと改竄が主な目的でしょう。
犯人はこちらのドメイン知ってるわけだし、ドメイン分かれば借りてるレンタルサーバーも
分かってしまうので、簡単に乗っ取れるんですね…怖い怖い