『詐欺メール』「アカウントの停止」と、来た件

heart

3年前

サーバー管理者が標的

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

カゴヤさんの正規ドメインは”kagoya.jp”

事務所のinfoメールのアドレスにまたまたおかしなメールが届きました。

メールのバージョンがどーのこーのと書いてありますが、これはサーバー管理者に宛てたもの
なのでしょうか？

件名は
「アカウントの停止」
ぶっきらぼうですね。
理由が何であれ事務所のinfoアカウントにこのような件名でメールが送られてくると
どきっとします。(汗)

差出人は
「Kagoya.net <akazawa@cymis.jp>」
“Kagoya.net“とあるので、うちが借りてるレンタルサーバーのカゴヤジャパンさんから？
でも、メールアドレスが”cymis.jp”なんてカゴヤさんとは全然関係の無いドメインの物。
この時点で信用できませんね。
それにカゴヤさんの正規ドメインは”kagoya.jp”。
もちろん”Kagoya.net“もカゴヤさんの持ち物ですが公には”kagoya.jp”が正解。
なのでこのメールはジャンクメールなのが分かりますよね？！

「フィールド御三家」を確認

ではヘッダーソースの「フィールド御三家」を拝見してみましょう。

Return-Path: <akazawa@cymis.jp>
Message-ID: <f91fc400-99ad-3448-9c44-17a7502d637e@cymis.jp>
Received: from unknown (HELO ?127.0.0.1?) (akazawa@cymis.jp@52.170.140.114)

”Return-Path”は、エラー時の返信先。
差出人と同じなので問題ありません。
ただし偽装可能なフィールドなので当てにできません。

”Message-ID”はこのメール固有のID
ここにも”cymis.jp”とメールアドレスと同じドメインが記載されています。
が、ここも偽装可能です。

”Received”は、メールが通過してきたサーバーが自身書き込む自局のホスト情報。
ここは偽装できない部分。
メールは到着するまでいくつかのサーバーを経由するので必ず複数記載されますが
一番下にあるのが差出人が利用した送信サーバーの情報です。
末尾にある”52.170.140.114”がそのサーバーのIPアドレス。
では、このIPについて調べてみます。

割り当て国がアメリカなので、このメールはアメリカにあるサーバーから発信されたことが
分かりますね。

では今度は、差出人のメールアドレスに使われていた”cymis.jp”ってドメインはどうでしょう。

もちろん偽装を想定して調べていますので登録名等は公表できませんが、”wadax.ne.jp”と
あるので、このドメインの持ち主は、”WADAX”ってレンタルサーバーのユーザーさん
のようですね。

メールにバージョンってあるん？？

では、本文。

親愛なる有効なユーザー: info

メールのバージョンが古くなっています

最新の******.***バージョンにアップグレードしないと、アカウントが完全に閉鎖されます。

以下のリンクを使用して今すぐアップグレード

「親愛なる有効なユーザー」ってのは、いやはやなんとも怪しいですね。
”親愛なる”から始まるメールはろくなメールじゃありませんよ！

「メールのバージョンが古くなっています」って、メールにバージョンってあるん？？(笑)
これはきっとメールサーバーのことを言っているんでしょう。
だいたい、サーバーをアップグレードするのはレンタルサーバー会社の仕事で
決してユーザー側で行うものじゃありません！
それに、アップグレードしないとアカウントが閉鎖されるなんてあり得ません！！(汗)

この脅し文句の後にあるのは、リンクです。
このメールには、リンクボタンじゃなくURLが直書きされています。

（末尾のぼかし部にはこちらのメールアドレスが書かれていました)

よく見ると、使われているドメインはtakaki-shiho.com”…「たかき・しほ」(人名？？)
こんな全く関係の無い”takaki-shiho.com”なんてドメインのサイトをレンタルサーバー会社の
カゴヤさんが運営するはずがない？！(笑)

じゃ、このドメインは誰が使ってるんでしょうか？

ドメインを割当ててるIPアドレスが”183.90.246.65”で、その所在は国内の大阪。
「Registrant Organization: Xserver Inc.」とあるので恐らくXサーバーのユーザー。

も少し詳しい位置を調べると…

もちろんおおよその位置です。

URLに接続してみます。

これは、サーバーアプリであるActive Mailのログイン画面を模したものですね(汗)

まとめ

ここにサーバー管理者のアカウントを入力させてその情報を盗み取る手口です。
当然ここを入力しログインしてもActive Mailにはログインせずにきっとカゴヤさんの
オフィシャルサイトに飛ばされるだけでしょう。

もし騙されてアカウント情報を詐取されてしまうと、サーバーに勝手にログインされ
メールアカウントの乱用だけじゃなく、ウェブサーバーにもログインされサイトの改ざん等
酷い目に遭うことになります。

うちの場合、サーバー管理者の登録はinfoアカウントにしていないのでこのアドレスに
レンタルサーバーからメールが届くことはありませんのですぐに気づくことができましたが
もし登録してあるアカウントにメールが届いていたとしたら。(;^_^A

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)