『詐欺メール』「【バージョンアップ】メンテナンス作業のお知らせ」と、来た件

バカバカしい

サーバー管理をしていると、これまたそれを標的にした詐欺の攻撃にあってしまうことも。
今回はそんなエントリーです。

このメール、ぼかしてあるところは全てうちのドメインが書かれています。
「うちの事務所ってレンタルサーバーやってたっけ？」と思うほど…

サーバーメンテナンスとメールアカウントの削除ってなにか関係あるんだろうか？
それにメールのアカウント操作なんてユーザーのコンパネに入らないとできないはず。
いくらレンタルサーバー屋さんだとしても勝手に操作しちゃダメ。
それにサービスをアップグレードするとアカウントの削除が解除できるなんてあり得ない。

では、このメールもプロパティーから見ていきましょう！

都心より発信か？！

差出人は「*****.***(うちのドメイン) サーバー管理者 <info230@f-54.com>」
こういう輩がこの項目に本当のことを記載するはずありません！
こんなメールアドレスは絶対ウソ！！
きっと全く関係のないドメインのメールアドレスに決まっています。

これはこのメールのヘッダーから必要な部分だけ抜粋したもの。

このメールいくつかのサーバーを渡り歩いてきたようで”Received”の項目が合計8つも
ありました。
ここに載せた”Received”は差出人側のサーバーが記した物で脇に添えられた4つのセグメントに
区切られた数字はそのサーバーのIPアドレス。
一番下のが”20.194.154.255”と書かれていますが、これが差出人がメールを送信して最初に
通過したサーバーが記したもの。
このIPを元に調べたおおよその位置情報がこちら。

東京の都心です。
このあたりに置かれたメールサーバーを最初に通過してメールが送られてきたことになります。

件名は「[spam] 【バージョンアップ】メンテナンス作業のお知らせ 4/29/2021 2:52:28 a.m.」
先頭の”[spam]”はうちのサーバーが付加したセキュリティー情報で迷惑メールであることを
サーバーが伝えています。
末尾の時刻スタンプはあんまり意味がないと思います。

シンガポールで運営中

本文になるURLは詐欺サイトへの接続口。

”wp-content”って文字が見えるので詐欺サイトはおそらくブログツールのWordPressで
作られているようです。

接続すると、例によって「Active Mail」というメールサーバーの管理ウェアーの
パクリページが表示されました。
ここに管理用アカウントとパスワードを入力すると、そのアカウント情報が詐取されて
サーバーの乗っ取りに遭遇します。

では、先ほどのURLにあった”its-globaltek.com”ってドメインの所在を確認してみましょう。

まず、ドメインの申請情報ですが”Country: VN”と”State/Province: Hanoi”とあるので
ベトナムのハノイから登録申請されています。
そして現在このドメインが使われている所在地はシンガポールと出ました。
ということは、このWordPressを使ったウェブサイトはシンガポールに設置された
ウェブサーバーで稼働していることになります。

サーバー管理差を標的にした不届き者は、こんな場所にサーバーを設置し隙を狙っているんです。
アカウントを詐取されてしまうとサーバーが乗っ取られてしまいます。
サーバーも立派な資産。
乗っ取られた先には、サーバーに不正ログインされた挙句にウェブページの改ざんや削除。
メールに至っては、メールアカウントの削除や悪用などが考えられますので企業にとっては
大きな痛手となりますので要注意です！
一般にはこのようなメールは届かないと思いますが、サーバー管理者の方はくれぐれも
お気をつけて！