IT管理者を狙った詐欺メール週明け1個目のエントリーは「お名前ドットコム」さんを騙った詐欺メールをご紹介。 件名は 「[spam] 【重要:与信失敗】お支払い情報の更新をお願いします」 ごめんなさい、「与信」って意味知りませんでした(;^_^A って言うかこんな一般人の知らない言葉を件名に使いますかって話。。。 ”[spam]”とスタンプが付けられているので迷惑メールの類です。 このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている ものは全て迷惑メールと判断されたもの。 うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと 否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。 差出人は 「お名前.com <hjfgxx@onamae.com>」 ”onamae.com”は「お名前ドットコム」さんの正規ドメインですが、”[spam]”が示す通り このメールは詐欺メールなのでこのアドレスは嘘。 では、このメールのヘッダーソースを確認し調査してみます。 ソースから抜き出した「フィールド御三家」がこちらです。 Return-Path: 「<hjfgxx@onamae.com>」 ”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される メールアドレスです。 一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に 偽装可能なフィールドなのであてにできません。 | Message-ID:「<4F6CD0BF2CCE4B04A0D45D3F8E7F86A1@onamae.com>」 ”Message-ID”は、そのメールに与えられた固有の識別因子。 このIDは世の中に1つしかありません。 ”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。 ここも偽装可能で鵜呑みにはできません。 | Received:「from onamae.com (unknown [163.43.144.99])」 ”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む 自局のホスト情報です。 ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。 すなわち、差出人が使った送信サーバーの自局情報。 記載されている末尾の数字は、そのサーバーのIPアドレスになります。 |
では、このIPアドレスを使ってそのサーバーの情報を拾ってみましょう! へぇ~っ、「お名前ドットコム」さんって「さくらインターネット」さんのメールサーバーを 使うんですね。(笑) って、んなわけないでしょ!!
「与信」とは「取引相手に融資や融資枠などの信用を与えること」では本文です。 お名前.comをご利用いただき、まことにありがとうございます。 ─────────────────────────────────── 【重要】お支払い情報の更新をお願いします ─────────────────────────────────── 与信失敗により、ご利用ドメインの更新手続きが完了できませんでした。 失効を回避するため、以下URLより現在のお支払い情報をご確認のうえ、 更新をお願いします。 ▼ お支払い情報の確認/設定はこちら ▼ ttps://onamae.gmovps.com/ ▽ お支払情報の変更・設定方法 ttps://onamae.gmovps.com/ 登録期限日の9日前までに上記変更が確認できない場合、 ご利用ドメインを失効する危険性が高まります。早急にお支払情報の確認・変更を お願いします。 |
良い機会だから「与信」について調べてみました。 「与信」とは「取引相手に融資や融資枠などの信用を与えること」だそうです。 詐欺メールがね…(;^_^A 内容は、「与信失敗」でドメインの更新手続きができなかったと言う連絡です。 これは、たぶんIT管理者を狙ったもので一般には送られてないものかと思います。 偽サイトへのリンクは2か所でURLは直書きされています。 使われているドメインは”onamae.gmovps.com” このドメインについて調査してみました。 持ち主は「中国,広西チワン族自治区」の個人。 このために取得したドメインなので所得ホヤホヤ(笑) 割当てているIPアドレスは”115.144.69.33” このIPアドレスを元にその位置情報を辿ってみました。 場所は隣国の首都ソウルです。 そのソウルで運営しているリンク先の詐欺サイトがこちら。 絶賛運営中ですので要注意! そうです、「お名前ドットコム」さんの完コピ偽サイト。 完全にパクっていますよね! サイトを丸ごとダウンロードできるようなアプリがあるからいけないんですけど、サイトの コピーは著作権法の違反ですから罪に罪を重ねたことになります。
まとめサーバーやIT管理者なら簡単に見抜けるとは思いますが、もしこのようなメールが届いても 絶対にリンクを開かないでください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |