『詐欺メール』「ウイルスが検出されました」と、来た件

差出人にもうちのドメイン名が使われてる？！

またまた、うちの事務所の代表メールにこんなおかしなメールが届きました。

よく意味が分からないのですが、差出人の名前にうちのドメインが書かれてるのに
差出人のメールアドレスは”newjapan2@sensyu.ne.jp”って書かれてる。
そしてメールの署名部もうちのドメインが記載されている…意味不明っす！

メールヘッダーの”Return-Path”にも”newjapan2@sensyu.ne.jp”と書いてあるけど
このドメインは「泉州ケーブルネット」さんの持ち物。
こんな所が詐欺メール出すはずが無いので100％偽装。
それが証拠に差出人の情報が記載されるメールヘッダーの”Received”フィールドには
こんなIPアドレスとドメインが。

早速ここにある”104.46.234.157”ってIPアドレスについて調べてみるとアメリカと出ました。

では”gauss.tam.ne.jp”ってドメインはどうでしょうか？

どうやら差出人は富山にある「タムネット」ってプロバイダーのユーザーで”gauss”って
サブドメインの利用者なのが分かりますね。

ウィルスでメールアカウントは削除されないよ

では本文。
メールの本文の内容には、メールにウイルスやスパムが届きそれが原因でアカウントの
有効期限が切れると書かれています。
なにか前にも見たような内容ですが、メールにウィルスが届こうがスパム(迷惑メール)が
届こうが一般常識として有効期限が切れるなんてことはありません。
だってメールアカウントなんて有効期限無いし、それに何より私が管理者なんだからね(笑)

メールに記載されてるリンク箇所がフィッシング詐欺サイトに繋がるリンクURL。
表面上はこんな風に書かれていますが、

実際にはリダイレクトされてこんなURLに接続されます。

繋いでみるとWebメーラーのログイン画面が開きました。

ここでユーザー名とパスワードを入力させてログイン情報を盗み取るんですね。
と言う事は、差出人はうちがどこのレンタルサーバーを使ってるか知ってるって事だね。

この接続される”myfriends.edu.pe”ってドメインについて調べておかなければなりません。
”.pe”ってのはペルーのトップレベルドメイン。
ですが、このドメインに紐づいたIPアドレスから導かれる所在地はこちらでした。

ペルーのドメインをニューヨークのサーバーで動かしているって事でしょうか。

こんなメール万人に送るのではなくきっとこちらがサーバー管理者を標的にして送ってきてる
のが何となく分かりますね。
始めてもらうと、焦ってしまうかもしれませんが冷静になってみるとウソばかりなのを簡単に
見抜くことができるはずです。
どちらにしても、リンクが書かれてるメールは信用せず、必要であれば自身の保存した
ブックマークを利用してログインすれば被害に遭う事はありません。