『詐欺メール』「【ETC】重要なお知らせ＜安心·安全への取り組み＞」と、来た件

ETC利用照会サービスを騙る新たな手口

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

★フィッシング詐欺解体新書★

警視庁まで繰り出したチャランポランな本文

「ETC利用照会サービス」を騙るフィッシング詐欺メールも日々頻繁に見受けられます。
その大半が自動退会処理を謳ったものですが、今回はそれとは異なりアカウントリスク有るので
会員情報を確認するように促してきています。

相変わらずカタコトなので要点が掴めない本文になっています。(笑)
なんでも、警視庁が入って捜査したとかって、言いたい放題書いてありますね…(;^_^A
それにしても「アカウント」が「垢」と書かれていたり、「サービス」が「ザービス」や「ザーピス」って
どうよ。。。

では、このメールを解体し詳しく見ていきましょう！
まずはプロパティーから見ていきましょう。

件名は
「[spam] 【ETC】重要なお知らせ＜安心·安全への取り組み＞」
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「ETC利用照会 <admin@ml.etc-meisai.jp>」
皆さんはご存じでしょうか？
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

上手く化けたつもりしょうね？…
”etc-meisai.jp”は確かに「ETC利用照会サービス」さんのドメインですが、件名に”[spam]”と
あるのでこのメールは詐欺メール故に偽装の疑いがあります。
その辺りを含め、次の項で見ていくことにしましょう。

”dbwbdn@gantou.com.cn”が本当のアドレスか？

では、このメールがフィッシング詐欺メールであることを立証していきましょうか！
まず、このメールのヘッダーソースを確認し調査してみます。
私が愛用のThunderbirdの場合、「表示(V)」⇒「メッセージのソース(O)」と進むと見られますよ。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「dbwbdn@gantou.com.cn」

ありゃりゃ、もう”etc-meisai.jp”は崩壊ですか。
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ご覧の通りここには
”dbwbdn@gantou.com.cn”なんて全く異なるメールアドレスが記載されています。

Message-ID:「202211090711036621502@gantou.com.cn」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from gantou.com.cn (unknown [107.150.124.77])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、「フィールド御三家」にあったドメイン”gantou.com.cn”について調べてみます。

”107.150.124.77”がこのドメインを割当てているIPアドレス。
”Received”のIPアドレスと全く同じですかこの方のメールアドレスは恐らく
”dbwbdn@gantou.com.cn”で少なくとも利用しているドメインは”gantou.com.cn”で
間違いありません。

「フィールド御三家」の中で一番重要なのは”Received”
これを紐解けば差出人の素性が見えてきます。
”Received”のIPアドレス”107.150.124.77”は、差出人が利用しているメールサーバーのもの。
このIPアドレスを元にその危険度と割り当て地を確認してみます。

このIPアドレスは、既に危険なものとして認識されているようで、脅威レベルは「高」で
その詳細は、ウェブによるサイバーアタックとされています。

IPアドレスを元にしているので、かなりアバウトな位置であることをご承知いただいた上でご覧ください。
ピンが立てられたのは、「香港」付近です。
このメールは、この付近に設置されたメールサーバーを介して私に届けられたようです。

なぜ「詫」だけ中華フォントなのか？

では引き続き本文。

ETCザービスをご利用いただきありがとうございます。

フィッシングメールが氾濫し、ユーザーの財産に被害が出ていることから、システムのリスク管理を強化し、警察や銀行と協力して、ユーザーの財産が被害を受けないようにしている。

システムの指示を受けた后、口座の使用を一時停止し、警視庁特殊詐欺担当に通知し、銀行にクレジットカードとカードの凍結を通知します。

警視庁の詐欺部門が捜査に入りますメールを受け取ったユーザーは、あなたのアカウントにリスクがあることを示すメールを受信してから12時間以内にログインしてアカウントを確認してください。そうしないとETCアカウント、クレジットカード、銀行を利用できなくなります。これをクリックして検証ご不便やご心配をおかけしたことを深くお诧び申し上げます。ご理解ありがとうございます。

会員情報の管理ページで確認

＊残念ながら、12時間以内に確認できなかった場合はお知らせいたします。アカウントをロックし、ETCサービスを無効にします。

＊この電子メールは重要なお知らせです。電子メールをご希望のお客様には送信いたします。ご理解ありがとうございます。＊eメールについて質問があれば、ETCサイトまでご連絡ください。

発行者ETC利用照会ザーピス事務局East Nippon Expressway Company

Limited,Metropolitan Expressway Company Limited

よく見ると「お詫び」の「詫」って文字が中華フォントになっちゃっていますね。

このメールは、フィッシング詐欺メールなので詐欺サイトへのリンクが付けられています。
そのリンクは「会員情報の管理ページで確認」って書かれたところに張られていて、リンク先の
URLがこちらです。

ん～、「フィールド御三家」といい、本文といい、このURLといい、中国の臭いがプンプンします。(;^_^A

このサイトの危険性をトレンドマイクロの「サイトセーフティーセンター」で確認してみます。

このように既に危険サイトと認識されており、ブラックリストに登録済み。
そのカテゴリは「フィッシング」と書かれています。

このURLで使われているドメインは、サブドメインを含め”etac-co-jp.tiansn.tangguifei.com.cn”
このドメインを割り当てているIPアドレスを取得してみます。

このドメインを割当てているIPアドレスは”45.42.215.123”
再びこのIPアドレスを元にその割り当て地を確認してみます。

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。