『詐欺メール』続「税務署からの【未払い税金のお知らせ】」と、来た件

★フィッシング詐欺解体新書★

1文字違いの「日本旅行」さんのドメインを偽装

先日も詳しくご紹介しましたが、このところ毎日のように税務署を騙ったフィッシング詐欺メールが
届いております。
また当ブログのアクセスログを見ても、そのページにアクセスが集中しており、その関心の高さが
うかがえます。
そして今朝もご多分に漏れず朝方にきっちり2通届いていました。

このメールの特徴は差出人のメールアドレスで、すべて「info@nta.co.jp」となっています。
皆さん既にお気づきかも知れませんが、差
それに、国税庁の正式なドメインは”info@nta.co.jp”ではなく”nta.go.jp”
この”go.jp”ドメインは「government（政府）」の略で、日本国の政府機関、独立行政法人、特殊法人が
登録（取得）できるものと決められています。
もちろんこの差出人のメールアドレスは、”info@nta.co.jp”ではなく、偽装しています。
因みにこの”nta.co.jp”と言うドメインは調べてみると分かりますが、「日本旅行」さんのドメインです。
わざわざメールアドレスを偽装しているにも関わらず”go.jp”ではなく”co.jp”としたのは
なぜなのでしょうね？
まさか国の機関に偽装するより日本旅行に偽装した方が罪が軽いとでも思ったのでしょうか？(笑)

”Return-Path”までもが偽装

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

”Return-Path”には差出人のメールアドレスとは全く関連性の無いものが書かれているので
この時点で偽装確定です。

では、”Return-Path”にあったドメイン”panha.top”について調べてみます。

「対応するIPアドレスがありません」って事なのでこれも偽装です。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”121.33.128.87”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその割り当て地を確認してみます。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、中国広東省広州市付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

リンク先は国税庁らしからぬURL

では引き続き本文。

本文の詳しい解説は、こちらの先回のブログエントリーでご確認ください。

『詐欺メール』「税務署からの【未払い税金のお知らせ】」と、来た件

国税庁が読めない漢字を駆使したメールを送信？！ ※ご注意ください！ このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし 悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。 このようなメールを受け取...

ymg.nagoya

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
表面上は”https://www.nta.go.jp”と国税庁の正規ドメインとなっていますが、もちろんこれは偽装。
実際に接続されるリンク先のURLがこちらです。

”nta.go.jp”には似ても似つかないドメインですね。(笑)

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

おっと、まだ「未評価」のようです。
このようなフィッシング詐欺サイトがこの評価ではあまりにも危険すぎます。
評価を変更していただけるよう早速申請しておきます。

このURLで使われているドメインは、サブドメインを含め”vak4klhkd.club”
このドメインにまつわる情報を取得してみます。

申請者の情報は、ほとんどがプライバシー保護でマスクされていますが、どうやら中国の湖南省の方が
申請したようです。
レジストラはシンガポールにある「Gname.com Pte. Ltd.」

このドメインを割当てているIPアドレスは”23.95.107.142”
このIPアドレスを元にその割り当て地を確認してみます。

ピンが立てられのは、アメリカテキサス州ダラス付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

少しだけ騙されてみる

安全な方法でリンク先の詐欺サイトに調査目的で訪れてみました。
やはり詐欺サイトは、Chromeやウィルスバスターにブロックされることなく無防備に放置されていました。
とても危険ですね！(;^_^A

「お支払いへ」と書かれているボタンを押して先に進んでみます。
すると、本人の情報を入力するフォームと支払方法を選択する画面が表示されました。
驚いたことに支払方法は電子マネー(Vプリカ)しか選べなくなっています。

適当に入力して先に進んでみます。
何やらセブンイレブンの端末操作方法が書かれていますね。(笑)

確認ボタンを押してみるとこのようなVプリカ発行コードと金額を入力する画面が表示されました。
深掘りするのも面倒なのでこの辺にしておきます。(笑)

まとめ

この後、「Ｖプリカチケット写真書類アップロード」と書かれたページで、レジで受け取るチケットの
写真をアップロード下するように求められました。
結構手が込んでいますね。

国税庁のサイトではこのようにしっかりと「注意喚起」がされていました。
私のように「e-Tax」を使ってことが無い人間なら、国税庁にメールアドレスが知られている
はずがないのでこのようなメールに惑わされることはありませんが、「e-Tax」利用者は騙されないように
注意が必要ですね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;