『詐欺メール』「ＥＴＣサービスは無効になりました(ＥＴＣ利用照会サービス)」と、来た件

西アフリカの「マリ共和国」から

最近多いですよね、ETC利用照会サービスを騙ったフィッシング詐欺メール。
同じものが多いのでいちいちご紹介はしていませんが、私のところには、ほぼ毎日複数通
届いています。
今朝のメールチェックでも唐突に「無効になりました」と書かれたメールが1通。

相変わらず、アルファベットが全角となっていますので、それとすぐに判ります(笑)

では、プロパティーから見ていきます。

件名
「ＥＴＣサービスは無効になりました(ＥＴＣ利用照会サービス)」
ああ、今回はうちのサーバーさぼりましたね、いつも頼りにしている”[spam]”を付け
忘れています(汗)
何故か詐欺メールの多くはアルファベットを全角で表現するんですよね・・・なぜでしょうか？

差出人は
「”ＥＴＣ利用照会サービス” <support@relsxmostadus.ml>」
ここもアルファベットは全角…(^-^;
「ETC利用紹介サービス」さんの正規ドメインは”etc-meisai.jp”です。
自社のドメインがあるのに”relsxmostadus.ml”なんて訳の分からないドメインを使いますか？
それに”.ml”は、西アフリカにある「マリ共和国」のトップレベルドメイン。
因みに”relsxmostadus.ml”をググると詐欺メールに関する情報がいくつか出てきますね。(笑)

IPアドレスとドメインで差出人を追跡！

ではこのメールをヘッダーソースから確認して色々調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

では、このドメインとIPアドレスを使ってその持ち主やサーバーの位置情報を拾ってみす。

ドメインの持ち主は「オランダ・アムステルダム」にある企業。

IPアドレスの割り当て地は「アメリカ・ネバダ州・ラスベガス」マッカラン空港付近。

日本のETCに関わる団体が、マリ共和国のドメインを使い、娯楽の殿堂ラスベガスから
メールを送るわけがない！(笑)

詐欺サイトは国内に？！

では、本文。

ETCに限らずこの「アカウント異常」って言葉は、詐欺メールにはよく出てきます。
でも、「アカウント異常」なんて言葉、日本人は使いませんよね？
書くなら「アカウントに異常があります」って熟語にすると思いますよ。

本文では、何の使い分けか知りませんが”ETC”を全角や半角を織り交ぜて書いていますね。

この本文の後ろに「ETC公式サイトにアクセスして更新します」と書かれたリンクボタンが
置かれています。
このリンク先にURLがこちらです。

当然このドメインも持ち主と割り当て地をしっかり調べます。
まずは持ち主から。

”Admin Organization”は、ドメインを管理しているホスティングサービス。
これには「No-IP.com」と書かれていますので、このドメインは「No-IP.com」と言う
ホスティングサービスに管理を委託しているようですね。
そして、ドメインの持ち主は「アメリカ・ネバダ州・レノ」在住の方。

このドメインを割当てているIPアドレスは「34.146.212.197」
このIPアドレスの割り当て地を別のサイトで検索すると…

もちろんおおよそですのであまり当てにはなりませんが、なんと「東京都新宿区市谷田町」と
出ています。
リンク先のウェブサイトは、ここに設置したウェブサーバー内で何らかの詐欺サイトを
運営しているようです。

リダイレクトした意味は？

では、その詐欺サイトはどのようなサイトなのでしょうか？
リンクに接続しまず気がついたのは、ボタンをクリックした瞬間の一瞬のブラウザの動作。
リダイレクトし、別のどこか違うサイトに飛ばされた感じがしたので開いたサイトのURLを
確認してみると、このようなURLにつながっていました。

これ、メールの時の同じ「マリ共和国」のトップレベルドメインですね。

また調べることが増えました…(;^_^A
このドメインについても持ち主と割り当て地を調べてみましょう。

まず持ち主から。

メールのドメインと同じ持ち主ですね。

では、次にIPアドレスの割り当て地。

これも、飛ばされる前のIPアドレスの割り当て地と同じですね。
じゃなぜリダイレクトまでして別サイトに飛ばす意味があるのでしょうか？？

最終的に飛ばされたサイトは、例によって完コピ偽サイト。

サイトのコピーも立派な犯罪！
これだけでも罰せられますよ！！

まとめ

クレジットカードを騙った詐欺メールも多いですが、ETCも多いですね。
これらのメールを受け取った際は、差出人やリンク先を十分に確認しご判断ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;