『詐欺メール』KAGOYAから「【サーバーアップグレード】メンテナンス作業のお知らせ」と、来た件

迷惑メール
この記事は約5分で読めます。

うちのドメインがいっぱい書いてある
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
 

うちってレンタルサーバー屋でした?

時々来る、レンタルサーバーのKAGOYAさんに成りすましサーバーメンテナンスを騙った
迷惑メール。

先程久しぶりにこんな感じのが届きました。

さもうちの事務所がレンタルサーバーを営んでるみたいに、ぼかしてあるところは全てうちの
事務所のドメインが入っています。

件名は
「【サーバーアップグレード】メンテナンス作業のお知らせ(2021年10月8日)」
気付けば、いつもサーバーが付加してくれる注意喚起の”[spam]”ってスパムスタンプが
付いてない(汗)

差出人は
「KAGOYA サーバー管理 <info@mus-nh.city.osaka.jp>」
KAGOYAと謳っておきながらメールドメインが”mus-nh.city.osaka.jp
本当にKAGOYAさんならメールのドメインは”kagoya.com”のはず。
因みに”mus-nh.city.osaka.jp”ってドメインは「大阪ドメイン」ってところが取得している
ドメイン。

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<info@mus-nh.city.osaka.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<082720211012010C9A4F796A-21B2D23EA0@mus-nh.city.osaka.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from jaapan (unknown [52.175.143.52])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

このIPアドレスに”mus-nh.city.osaka.jp”ってドメインが割当てられていればこの差出人の
メールアドレスに偽りはなかったことになりますが。

ではこのIPアドレスを使ってその情報を拾ってみましょう!

”リモートホスト”にそのままIPアドレスが記載されているので、このドメインは違う
IPアドレスに割当てられているようですね。
じゃ、逆に”mus-nh.city.osaka.jp”はどんなIPアドレスに割当てられているのでしょうか?

全くかすりもしないIPアドレスが表示されました。

差出人のIPアドレス”52.175.143.52”は、どこで使われているのでしょう?
早速調べてみました。

あくまでおおよその位置ですが、大阪の難波付近が表示されました。
このメールの差出人は、少なくとも大阪になるメールサーバーを使って私にメールを送って
来たことになります。


目的はサーバー乗っ取り

では、本文です。

要は、サーバー側で特定のメールアドレスに削除のフラグが付けられていますと。
記載されたリンクをたどって、サービスをアップグレードしろって内容です。

記載されているURLに使われていたドメインは”karaincirevleri.com”ですが
接続してみると、リダイレクトされ”aboundinggracecc.org”ってドメインを使った
Activemail”ってメールサーバーのコンパネログインページに飛ばされました。
もちろん偽物ですが。

ま、これ、こいつらのいつものパターンなんですがね。

では”aboundinggracecc.org”について調べてみましょう。

ドメインの持ち主は、アメリカ・アリゾナ州にお住みの方。

では”aboundinggracecc.org”を割当てているIPアドレスの所在はどこにあるんでしょうか?

調べてみると「アメリカ・ミシガン州・ウェイブリー」が表示されました。
先程の”Activemail”の偽サイトはここで運営されているようです。


まとめ

いちいちログインして確かめてはいませんが、今までのパターンだとIDとパスワードを
入力するとKAGOYAさんのトップページに飛ばされるはず。
奴らはこちらのIDとパスワードが欲しいだけだからこれで目的は完了。
そして、そのIDとパスを使ってKAGOYAさんにある内のコンパネにログインし乗っ取った上
既存のメールアドレス削除やウェブサイトの改ざんなどの悪行を行うのです。
ほんと悪い奴らだ!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました