『詐欺メール』「message returner to sender/rcpt(2)」と、来た件

heart

3年前

英文の件名で立て続けに3通も

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

サーバー管理者が標的

英文の件名でこのようなメールが立て続けに3通届きました。
それも差出人が異なるものが…

私、英語からっきしなのでGoogle先生にお願いしてみるとこのように翻訳されました。

「[スパム]メッセージの返信者から送信者へ」…ふぅ～んって感じ(笑)

では、このメールもプロパティーから見ていきましょう。

件名は
「[spam] message returner to sender/rcpt(2)」
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「bounce@02.postmaster <info@estprime.com>」
「bounce@03.postmaster <info@neoplanning.net>」
「bounce@03.postmaster <info@jugiappone.net>」
どちらのメールも送り主はきっと同一人物です。
このようなメールアドレスは実在するのでしょうか？
次の項でじっくり考察してみましょう。

富山市にあるメールサーバーが発信拠点

ここでは、1つ目に来た”info@estprime.com”というメールアドレスの方について調べます。
メールのヘッダーソースを確認し調査してみましょう。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<info@estprime.com>」

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「Message-Id: <202204252344.23PNiE2M021322-23PNiE2N021322@fmail02.kagoya.net>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from www.hairgrance-shop.com (unknown [117.120.49.144])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

まずは、”estprime.com”について情報を取得してみます。

”117.120.49.144”がこのドメインを割当てているIPアドレス。
”Received”に書かれているのが”117.120.49.144”ですからこの方は、正直に自身の持つ
メールアドレスを使いこのメールを送ってきたことになります。

”Received”のIPアドレス”117.120.49.144”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられたのは、「富山県富山市牛島新町」付近です。
あくまでおおよその位置になりますが、このメールは、この付近に設置されたメールサーバーを
介して私に届けられたようです。

クソ長いドメイン

では引き続き本文。

メールアカウントへの配信が保留されているメッセージは2つあります。

保留中のメッセージを表示するには、以下のリンクをクリックしてください。

このメールを受け取ったメールアドレスは、わが社の”info”アカウント宛です。
この手のメールは、窓口やサーバー管理者等に宛てられているものでそれ以外にも
”admin”や”support“宛で送られてきます。

ここには、保留中のメールが2通ありのでリンクから確認しろと書かれています。
そのリンクは本文に直書きされていて、このURLで使われているドメインは、サブドメインを含め
”mail-secureweb0qa2ce8ndm9asbhssywklsycmqmybohl.nayyabgroup.com”ってクソ長いもの。

このドメインにまつわる情報を取得してみます。

持ち主は、パキスタンのラホールの方。

このドメインを割当てているIPアドレスは”95.216.42.246”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、フィンランド「トゥースラ」付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。

これは、メールサーバーを管理するActiveMailへのログイン画面。
ここにアカウントとパスワードを打込んでログインしてしまうと、その時点でアカウント情報が漏洩し
サーバーを乗っ取られてしまう可能性が大きくなります。

まとめ

このようなメールが一般のユーザーに来ることはなく、先程も書きましたが特定の代表的な
アカウントや明らかに管理者が利用するようなアカウント宛に送られてきます。
大抵の場合、メールが保留されているとか、自動的に削除されるとかと管理者の心理を突き
リンクからログインを誘うものです。
このようなメールが届いた際は、必ず差出人のメールアドレスとリンク先のURLにあるドメインが
レンタルサーバー会社のものかどうか確かめてください。
そうでないものは全て悪意のあるメールと判断し無視した上で削除してください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)