サイトアイコン HEARTLAND

『詐欺メール』KAGOYAから「メールボックスメモリスペースがほぼ満杯」と、来た件

サーバー管理者を標的に
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
 

「カゴヤ・ジャパン」さんを騙るメール

レンタルサーバーの「カゴヤ・ジャパン」さんに成りすましサーバーを乗っ取ろうとする
詐欺メールです。

あれ? 今日が11月20日。
それなのにメールの送信日は10月28日…
ヘッダーソースを確認してもすべてのタイムスタンプは10月28日。
どうしたことでしょう??

まぁいいやそんなことは。(笑)
忘れたころに繰られてくるこのメール、メールボックス容量が差し迫り3通のメールが溢れた
ことを理由にリンクからサーバーへのログイン情報を盗み取るのが目的。
盗み取ったIDとパスワードで不正ログインを行った上で、サーバーにあるWebサイトを
改ざんしたり、メールサーバーを乗っ取ってフィッシング詐欺メール発信元にされたりと
悪事を行いますから要注意!

件名は
「【重要】〇〇〇〇への通知」
「〇〇〇〇」の中には、うちのドメインが書き込まれています。
どう言う訳かいつもあるスパムスタンプが付けられてないので何らかの方法でサーバーの
スパムフィルターをすり抜けてきています。

差出人は
「KAGOYA Internet Service <life@kscompany.jp>」
レンタルサーバー会社が自社ドメインではないメールアドレスでメールを配信するって
どう考えてもおかしいでしょ?


差出人も被害者かも?!

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<life@kscompany.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<6cbfd9e5-fb07-2333-9c87-f9b6e1684f1e@kscompany.jp>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from sv64.xserver.jp (210.188.201.17)」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

このIPは、Xサーバーってレンタルサーバーの持ち物のようです。
そしてこのIPは差出人のメールアドレスにあったドメイン”kscompany.jp”に間違いなく
割当てています。
このドメインを使っているサイトに行ってみると神戸のヘアーサロンさんのサイトが
開きました。
これは想像ですが、おそらく”kscompany.jp”をお使いの方のサーバーをこのメールと
同じ方法で乗っ取り詐欺メールの温床としたのではないかと思われます。


松戸の方が千代田区のサーバーで悪事を!?

さて、本文。
1行目で引っ掛かるところがいくつかありますね。
「完全なメールボックスメモリスペースがほぼ満杯であるため」
「完全な」なんて使います? なんだか翻訳したみたいに感じるのは私だけでしょうか?
そして「メールボックスメモリスペース」なんてそんないい方しませんよ。
「メールサーバー容量」とか「サーバースペース」とか言いますよね?
それに「満杯」って表現ももどうかと思いますが…

メールの本文に長ったらしいURLが記載されています。
後半に”kagoya.com”とカゴヤさんらしいドメインもありますが、実際にこのURLのドメイン
部分は下にあるように”sugargliderz.com

このドメインについて調べてみます。

持ち主は、千葉県松戸市に住む方でした。

そして、このIPアドレスから割り出されたリンク先のウェブサイトを開設しているサーバーの
位置は、東京都千代田区。

サイトにアクセスしたら既に閉鎖されていました。

サイトのトップに移動してみると何やら怪しげなサイトが開きました…

深追いせず調査はこの辺でやめときます(笑)


まとめ

今回は、サーバー管理者を標的にしたもので一般には送られてないかもしれません。
たびたびこのようなメールが届き、差出人のドメインを調査してもちゃんとしたお店とか
企業様が多いので、きっとこのようなメール詐欺に遭われた被害者メールサーバーを
使って詐欺メールを送っているのでしょうね。
ほんと悪い奴らです!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了