『詐欺メール』「【お申し込みを受け付けました】カゴヤ・クラウド VPS へのお申し込みありがとうございました」と、来た件

迷惑メール

先回と同一犯の犯行
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第
できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!

”kagoya.net”は偽装

今日のブログネタをどれにしようかと品定め中にちょうど都合良くこんなメールが(笑)

大手レンタルサーバーの「カゴヤ・ジャパン」さん(以降カゴヤ)にのなりすまし、身に覚えの
無いサービス加入をネタにリンクに誘導し、サーバーへのログインIDとパスワードを盗み出す
目的の詐欺メールです。
最近ちょくちょく目にする カゴヤさんを騙った詐欺メール。
当然、私がカゴヤさんでサーバーレンタルしていることを知ってての犯行だと思います。
(このサイトは、カゴヤさんではありません)

では、メールのプロパティーから見ていきましょう。

件名は
「【お申し込みを受け付けました】カゴヤ・クラウド VPS へのお申し込みありがとうございました」
残念、カゴヤさんのクラウドは「KAGOYA CLOUD VPS」でカタカナは使われておりません。
このメールには”[spam]”とスパムスタンプが付けられていませんね。
いつもなら詐欺メールには付けられているはずなのに…
危ない、危ない、それにしてもどうやって突破したんでしょうかね?

差出人は
「カゴヤ・ジャパン サポートセンター <support@kagoya.jp>」
カゴヤさんのサポートと何度か連絡を取ったことありますが、メールアドレスのドメインは
kagoya.jp”ではなく”kagoya.com”でしたよ。

嘘はいけませんよ!

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<support@kagoya.jp>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<71b4e43ad1e693b3fe671fdc77b12a7e@localhost.localdomain>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from localhost.localdomain ([121.50.46.57])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

あくまでこの方のメールアドレスが”support@kagoya.jp”と言い張るのであればそのウソを
見破ってみます。
もし、この”Received”にあるIPアドレスに”kagoya.jp”が割当てられているのであれば
この差出人はカゴヤさん、でもそうでなければメールアドレスの偽装です。
では”kagoya.jp”はどんなIPアドレスに割当てられているのか確認してみましょう!

残念でした!
Received”にあるIPアドレス”121.50.46.57”とは全く異なる数字が表示されてしましました。
この差出人は、メールアドレスを偽装していました。

ちょっと待った!
このIPアドレスって見覚えがある気がする!!
そう、先日来たカゴヤさんのなりすましと同じだ!!

『詐欺メール』「Active! mail - カゴヤ・ジャパン株式会社 ・セキュリティシステムのメンテナンス」と、来た件
また「さくらインターネット」ユーザーの仕業 ※ご注意ください! 当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールを発見次第 できる限り迅速にをもっとうにご紹介しています。 このようなメールを受け取っても絶対に本文中のリンクを...

この時と同一犯の仕業です
懲りないヤツですね。

これは”Received”にあったこのIPアドレスを使ってそのサーバーの割り当て地を確認してみた
ものです。
先回の調査の際、脅威レベルは「低」だったんですが、今回は「高」に切り替わっています。
これは危険度が増したって事なんでしょうね。


目的はサーバーの乗っ取りか?!

続いて本文です。
先回の調査の時は、日本語が苦手そうな文面でしたが今回は少し上達したようです(笑)

でも、学習しないのか、リンクアドレスのドメインも先回の調査と同じ”cprapid.com
サブドメインの”3-137-150-20”部分が前のと違うので一応IPアドレスを確認し
その割り当て地だけ確認してみました。

先回と同様に”3-137-150-20”はIPアドレスでしたね。
そしてプロバイダーも前と同じ”Amazon”です。
先回の割り当て地は、カナダのトロントでしたが今回はどこなのでしょうか?
確認してみると、今回は「アメリカ オハイオ州 コロンバス」付近のようです

やはり足が付きにくいように点々としているようです。
URLを開いてみると、コンパネへのログイン画面が表示されました。

ここにアカウントを入力して「Login」ボタンを押してしまうと、その時点でその情報は
流出してしまいます。
流出すると、サーバーが乗っ取りに遭いサーバー内にあるメールアカウントを追加され
そのアカウントを使ってフィッシング詐欺メールを配信したり、ウェブサーバーも改竄され
詐欺サイトの温床と化すでしょう。


まとめ

詐欺メールって流行り廃りが有るので今の流行は「カゴヤ」さんってところでしょうか?
今回のメールの場合は、一般対象ではなくカゴヤさんユーザーに対してですから狙いは
ピンポイントです。
足が付きにくいように乗っ取ったサーバーで詐欺を行うのでこういったレンタルサーバー
をピンスポットで狙ったものも必要なんでしょうね。(;^_^A

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

タイトルとURLをコピーしました