「迷惑隔離フォルダにメールが届いていて、確認するには『どこでもメール』にアクセスするように」というメールが届きました。しかし、アクセスすると偽サイト。
いわば「迷惑メールフィルターを偽装した迷惑メール」でした。
迷惑メールにもいろんなパターンがあるんだね。
1. 「迷惑メールフォルダ」にメールがある?
最近、迷惑メールが巧妙化しているのか、フィルターを抜けてくることが増えたように感じます。
「メール配信通知」というメールが届きました。
迷惑メールが届いたので確認するには「どこでもメール」にアクセスするように、と書かれているのですが、リンクは全くの偽物。
件名:メール配信通知
差出人:〜サービス
迷惑メールフォルダに隔離された新着メッセージの合計は1通でした。
迷惑メール隔離フォルダの保存期間は7日間です。
※保存期間を過ぎたメールは自動的に削除されます。
万が一、迷惑メールではないメールが隔離された場合は、「どこでもメール」で必要なメールを通常のメールボックスに移動してください。
くどこでもメール>
https://partnerservicos.com.br/company/kuyi/index.php?uid=〜
リンクを押してみると「詐欺Webサイトの警告」が表示されました。
これは Googleからの警告で、すでに偽サイトの通報があったようです。
詐欺Webサイトとして報告されたWebサイトの警告です。詐欺Webサイトは、あなたが信頼している正規のWebサイトのふりをしてあなたをだまそうとします。詳しい情報…
それでも、警告を無視してアクセスすると、「Bandwidth Limit Exceeded(帯域幅の制限を超えました)」と表示されました。
すでに、偽サイトは機能しない状態になっているようです。
1-1. 「どこでもメール」とは?
「どこでもメール」は、ケーブルTVなどのWebメールサービスとして実在します。しかし、今回のものとは全く別物です。
ただ、「ドコモメール」や「auメール」あるいは「Gmail」など、もっとメジャーな名前を選ばなかったのは、やや腑に落ちません。通常は、詐欺はもっとも普及しているものに偽装するからです。
2. .tkドメインは要注意
ちなみに、リダイレクトされた偽サイトは「orbusonline.tk」というドメイン。
「.tk」は、ニュージーランド領トケラウのドメインです。
このドメインは無償で取得できるため、偽サイトに悪用されることも多いです。
トケラウは、興味を持つ個人には誰でも.tkドメインを無償で提供しており、このため大量のドメインが生まれることとなった。(…)連続90日で25回の訪問がなかったサイトは、自動的に使用停止になる。容易に取得が可能なため、フィッシングサイトなどの温床となっている。なお3文字以下の名前は有料での登録となる。
.tk – Wikipedia
無料サービスは、悪用されがちだよね。
3. メールヘッダーから送信元ドメインを見る
パソコンのメールソフトから「メールヘッダー」を見て、送信元を確認してみます。
実際の送信元は、差出人のメールアドレスとは別で、「c15pufyt.mwprem.net」というドメインでした。
アクセスしてみると、レンタルサーバの初期設定のまま「はじめに」のページが表示されました。
迷惑メール送信用に取得したサーバなのかな。
3-1. 添付ファイルは画像ファイル
メールには、添付ファイル(caller.png)がありました。
VirusTotalで調べてみると、マルウェアではなさそうです。
「Microsoft Outlookのパスワード期限切れ」と偽装するための画像のようです。
Microsoft Outlook
Hi User,
This is an automated notification that your email password expires today. click below to revalidate credentials
STAY WITH THE CURRENT PASSWORD
Link expires in 24 hours, use the link above to avoid email access restrictions.
Microsoft Notifications(機械翻訳)
これは、電子メールのパスワードが今日期限切れになるという自動通知です。 資格情報を再検証するには、以下をクリックしてください
[現在のパスワードを使用する]
リンクの有効期限は 24 時間です。上記のリンクを使用して、メール アクセスの制限を回避してください。
ただ、この画像そのものにはリンクがなく、とくに偽サイトに誘導していませんでした。
こちらもどうぞ。
