サイトアイコン HEARTLAND

『詐欺メール』関戸から「先日メールをお送りした件 年収30%の紹介手数料は不要です」と、来た件

ワークタンクの関戸って誰なん?
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
 

何がしたいの?

昨日から突然このウザいメールが何度も送られて来るようになった。
件名と内容は同じなのに差出人のアドレスがなぜかバラバラなんです。
下の図のようにそのうちの1通だけ”[spam]”ってスタンプ付けられているんで
全てが迷惑メールなんです。

件名は
「先日メールをお送りした件 年収30%の紹介手数料は不要です。
様々なエンジニア職・人材のご提案」

”先日のメール”なんて書かれていますが、もちろんそんなメール受け取っていません。
この件名からすると、人材の売り込みのようですね。

差出人はそれぞれこのようになっています。
「”Worktank” <info@anstage.info>」
「 “Worktank” <info@nage.info>」
「”Worktank” <info@aostage.info>」
「”Worktank” <info@amstage.info>」
なぜ差出人のメールアドレスを変えてまで何通もの迷惑なメールを送り付ける必要が
あるのでしょうか?
何か悪いことをしているのでしょうか?

では複数のメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path:
「<001_error@anstage.info>」
「<001_error@nage.info>」
「<001_error@aostage.info>」
「<001_error@amstage.info>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:
「<20210913004626.8DA59A5712@vps-1020481-8005.rsjpserver.net>」
「<20210913020622.A9EDD162C00@vps-1024365-8049.rsjpserver.net>」
「<20210914015924.09B2C8CDE3@vps-1020485-8006.rsjpserver.net>」
「<20210914022728.A8F33AC699@vps-1020478-8004.rsjpserver.net>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。

Received:
「by vps-1020481-8005.rsjpserver.net (Postfix, from userid 10000)」
「by vps-1024365-8049.rsjpserver.net (Postfix, from userid 10000)」
「by vps-1020485-8006.rsjpserver.net (Postfix, from userid 10000)」
「by vps-1020478-8004.rsjpserver.net (Postfix, from userid 10000)」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

メールアドレスのドメインはバラバラでしたが、送信したサーバーは「ラピッドサイト」
ってレンタルサーバーが運営しているVPS(バーチャル・プライベート・サーバ)で稼働
しているメールサーバーのようです。

では、今度はメールアドレスに使われていたドメインのサーバー位置情報を拾ってみましょう!


申請者の住所は福岡


申請者の住所はワシントン


申請者の住所は福岡


申請者の住所は福岡

サーバーの位置は、全て以下のように東京都心が示されました。


それらしいアカウントに適当に送信

これらのメールは、アカウント間違いでサーバーの迷子メールになっていたもの。
うちの場合、ドメインが正しくてもアカウント(@より前)が間違ってると迷子に振り分け
されてサーバーに残す仕組みにしてあります。
それぞれアカウントは古い物から順に”jinji”・”recruit”・”sales”・”saiyo”になっていました。
もちろんうちの事務所にはそんなアカウントは存在しません。
どうやらこの差出人は、うちのサイトかどこかのリストでうちのドメインを知り、適当に
それらしいアカウントを当てずっぽにメールを送ってきている模様です。

一応メールの末尾にこのようなメールの配信解除のリンクが付けられています。

繋いでみると一応このように解除画面が表示されるのですが、本当に解除されるかどうかは
不明です。

接続されるURLに使われているドメインは、メールのドメインと同じものです。
普通なら”WORKTANK”さんに関連のあるURLにつながると思ったんですが…


どうも腑に落ちない結果

これがこのメールにあった本文と署名です。

ここに書かれている電話番号でネット検索してみました。
すると…

表示されたビルに入っている会社のようですが、看板もないのでバーチャルオフィスかも
知れませんね。
それに、検索結果に”迷惑メール送信業者です”とか”株式会社エーステージの関戸さんに変わってました。”
とか、あまり良い情報がありませんね。

因みに「WORKTANK」って会社さんを調べてみたんですが、1995年に設立された歴史のある
企業さんのようです。

サイトのURLを見させていただくと、ちゃんと”worktank.com”ってドメインを持って
らっしゃいますね。
それにinfoアカウントもしっかり持ってらっしゃいます。

腑に落ちませんね…

ならばあのように全く関連の無いドメイン使った複数のメールアドレスを使い配信する必要は
ありませんよね?


まとめ

う~ん…そんな歴史のある会社さんがここのような迷惑メールを送るでしょうか?
見てきたように、自社のドメインを取得されていることや、会社さんの成り立ちなどからも
えると、ワークタンクさんに恨みを持つ第三者がワークタンクさんになりすまし
嫌がらせで迷惑メールを配信しているなんてことも考えられるんではないでしょうか?
余り続くようなら直接ワークタンクさんに問い合わせてみるのも一つの手ですね!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了