『詐欺メール』「サービス復旧のお知らせ。」と、来た件

弊社はレンタルサーバーはしておりません

また、おバカなメールが到着。

このメールは「admin@〇〇〇〇」ってアカウント宛に送られてきたもの。
このアカウントは実在しないものでしたので、サーバー内に迷子として保存されていました。

ぼかしてあるところは全て弊社のドメイン名が書かれています。
さも、弊社がメールサーバーを貸し出している感じののり。(笑)
こんなので誰か騙せるのでしょうか？

では、じっくり見ていきましょうか。

件名は
「【重要】2021年10月27日（水）のサービス復旧のお知らせ。」
うちのサーバーさぼっていますね。
いつもの”[spam]”ってスパムスタンプが付けられていません。
でもこれは正真正銘のスパムメールです。
”2021年10月27日”と言えば、本日です。
さて、何のサービスが復旧したのでしょうか？
この件名だけじゃさっぱり分かりません。

差出人は
「”○○○○ サポート” <fukushima.tta-01@fukushima-tta.jp>」
「○○○○」は例によって弊社のドメインが記載されています。
それに、このメールアドレスはきっと偽装。
それも実在するメールアドレスを騙っていると思われます。
それが証拠に、このメールアドレスに使われているドメインは「福島県卓球協会」さんの
持ち物でした。

メールアドレスは「福島県卓球協会」を騙る

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！
このIPアドレスの割り宛先は、果たして「福島県卓球協会」さんなのでしょうか？(笑)

このIPアドレスの割り当て地は「埼玉県さいたま市中央区」
けして福島県じゃありません。(笑)
おまけに利用しているプロバイダーはMicrosoftと出ています。
はて、Microsoftってプロバイダーなんてしてたんだろうか？？

「オーセンティケーター」とは？

さて、続いて本文を見ていきます。

どうでもいいけど、1行目には障害発生時刻が「2021年10月27日08：57-10：40（水）」
となっているのに箇条書きのところは「2021年10月27日水曜日10:57から14:40」に
なっています。
何故こんなに時間の食い違いがあるのでしょうか？(笑)

さて、内容のところに書いてある「Webオーセンティケーターエラー」ってのは何なのか？
聞きなれない言葉なので気になりますよね。
調べてみると、どうやら「オーセンティケーター」とは「二段階認証」の事のようです。
でも次の項の原因として書かれているのは「電子メールサーバーがオフになっていたため」
はて？　「二段階認証」じゃなかったの？
まぁ、支離滅裂はスパムメールではよくあることですが…

この後に詐欺サイトへのリンクが付けられているわけなんですが、そのリンク先のURLは
こちらのドメインから始まるもの。

では、ここで使われている”fotojosue.com”と言うドメインを調べてみましょう。

ん～、あまり詳しい情報は出てきませんでしたね。
「Registrant Country: ZA」と「Registrant State/Province: GAUTENG」とありますので
持ち主は、「南アフリカ・ハウテン」ってところです。

「対応するIPアドレスがありません。」と書かれていますが、他のサイトで調べると…

あくまでおおよその位置ですが「アメリカ・イリノイ州・シカゴ」と出ました。
ここでどんなサイトを開いているのかと思って繋いできたのですが、残念ながら空振り。
既にサイトは閉鎖されていました。

まとめ

最初にも書きましたが、このメールは「admin@〇〇〇〇」って実在しないメールアドレス
宛に送られてきたものですが「info@○○○○」にも届いていました。
どうやらありがちなアカウントに向け適当に送ってきているようですね。

このメールは、サーバー管理者に宛てたものです。
想像の範囲の話ですが、経験上閉鎖されていたサイトはメールサーバーのコンパネを模した
偽サイトで、ログインさせるふりをしそのログイン情報を盗み取った上で、不正ログインし
サーバーに悪さを加えようとするのです。
そんなことして何が楽しいのでしょうか？
そんなことに頭を使うならその技術をもっと他に生かせばいいのにね。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;