サイトアイコン HEARTLAND

『詐欺メール』『【最終通知】【督促状】滞納した税金がございます。』と、来た件

督促を装って詐欺をはたらく
※ご注意ください!
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。

このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリを
お使いになってログインするよう
心掛けてください!
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

★フィッシング詐欺解体新書★

国税庁がなぜ私のアドレスを知ってるの?

皆さん宛てに国税庁からメールが来ることってありますか?
なんと、私にその国税庁からメールが来たのです!!
それも未納の2,000円分の納税督促状…(;’∀’)
もちろん、ここで紹介しているってことなので詐欺メールなんですけどね!(笑)

だいたい国税局が私のメールアドレスを知っているはずがないし、もし知ってるとしたら
どこから入手したのって話。

このメールのタイムスタンプはこうです『送信日時 2023年07月15日(土) 20:50:07』
それで『納付期限: 2023/07/15』って…
あまりにも気が引けたのか『最終期限: 2023/07/16 (支払期日の延長不可)』だって!(笑)
もう面倒なんでなんなら2,000円分差し押さえられたってかまいませんよ!( ;∀;)

では、このメールを解体し詳しく見ていきましょう!
まずはプロパティーから見ていきましょう。

件名は『[spam] 【最終通知】【督促状】滞納した税金がございます。』
ご承知の通り件名欄は、差出人が書き込むものですからいくらでも適当に記入できます。
この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

差出人は
『”国税庁” <info@e-tax.nta.go.jp>』
皆さんはご存じでしょうか?
この差出人欄は完全に自己申告制で、誰でもウソが書けるフィールド。
ですから、ここは信用できない部分です。

確かにドメイン”nta.go.jp”は国税庁に与えられたものですが、このメールは詐欺メール故に偽装。
その辺りを次の項で少し詳しく見ていくことにします。


IPアドレスが全然違う

では、このメールがフィッシング詐欺メールであることを立証していきましょうか!
まず、このメールのヘッダーソースにある”Received”を確認し調査してみます。
私が愛用のThunderbirdの場合、『表示(V)』⇒『メッセージのソース(O)』と進むと見られますよ。

Received:『from e-tax.nta.go.jp (unknown [60.169.117.19])』

この”Received”に記載のIPアドレスは差出人が利用したメールサーバーのもの。
このIPアドレスが差出人のメールアドレスのドメインに割当てられているものと一致すれば
メールアドレスの偽装は無かったことが証明されますが、そうでない場合、特定電子メール法
違反となり処罰の対象とされます。

※特定電子メール法違反
・個人の場合、1年以下の懲役または100万円以下の罰金
・法人の場合、行為者を罰する

では、メールアドレスにあったドメイン”e-tax.nta.go.jp”が差出人本人のものなのかどうかを
調べてみます。

e-tax.nta.go.jp”ではIPアドレスの抽出ができなかったので”www.nta.go.jp”として検索してあります。
国/地域がアメリカ合衆国ってのこのサイトのご愛敬、いつもこのように誤動作します…
このドメインの管理者は国税庁としっかり記載されていますね。

これによると”13.225.183.24”がこのドメインを割当てているIPアドレス。
本来この4つの数字は”Received”のIPアドレス”60.169.117.19”と同じ数字になるはずですが
比較すると全く異なるのでこのメールのドメインは”e-tax.nta.go.jp”ではありません。
これでアドレスの偽装は確定です!

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
記載されている末尾の数字は、そのサーバーのIPアドレスになり、これを紐解けば差出人の素性が
見えてきます。
このIPアドレスを元に送信に使われたホスト情報とその割り当て地を確認してみます。

へ~っ、政府機関の国税庁が中国のこのような山の中から国民宛てにメールをね…(;^_^A
位置情報は、IPアドレスを元にしているので、かなりアバウトな位置でですが、百歩譲ったとしても
それはあり得ません。

送信に利用されたのは、中国最大の通信サービス『Chinanet』です。


何故か『https://』が2つ

では引き続き本文。

あなたが納税すべき国税等につきましては、いまだ納められていません。以下のリンクをアクセスし、記載されてる方法で直ちに全額を
納税の上、御連絡ください。

https://https://jhsymkfj.com

また既に金融機関等で納税された場合も必ずご連絡ください。期限までに納税の確認ができない場合、(国税通則法37条) により財産を差
し押さえます。なお、指定期限にかかわらず、緊急を要する場合等には差押えを執行することがあります。

〇指定期限 2023年07月15日 まで

この期限までに納付の確認ができない場合には滞納処分が執行されます
————————————————————————————————
(連絡事項)

納稅確認番号:****3697
滯納金合計:2000円
納付期限: 2023/07/15
最終期限: 2023/07/16 (支払期日の延長不可)

————————————————————————————————
※ 本メールは、「国税電子申告・納税システム(e-Tax)」にメールアドレスを登録いただいた方へ配信しております。
なお、本メールアドレスは送信専用のため、返信を受け付けておりません。ご了承ください。
———————————————————-
発行元:国税庁
Copyright (C) NATIONAL TAX AGENCY ALL Rights Reserved.

何故だか『https://』が連打されています。(笑)
どうやらこのURLがリンク先のようですが、『https://』の連打が仇となってリンクが機能していません。
『https://』を1つ消してリンク先をトレンドマイクロの『サイトセーフティーセンター』で確認してみます。

既にしっかりブラックリストに登録済みですね。
リンクへ移動してもサイトはブロックされるでしょう。

このURLで使われているドメインは”jhsymkfj.com
いつの間にか”e-tax.nta.go.jp”は忘れ去られてしまったようです。(笑)
このドメインにまつわる情報を取得してみます。

このドメインは、アメリカサンマテオにある『Dynadot』と言うドメインレジストラが管理代行
しているようです。

このドメインを割当てているIPアドレスは”204.44.85.98
例によってこのIPを元にサイト運営に利用されているホスト情報とその割り当て地を確認してみます。

サイト運営に利用されているホストは『Public Network』

こちらもIPアドレスを元にしているので、アバウトな位置であることをご承知いただいた上で
ご覧ください。
地図上にピンが立てられたのは、いつもの場所『ロサンゼルス』付近。
この辺りに設置されたウェブサーバーに、リンク先の詐欺サイトは構築されているようです。

早速万全の態勢を整えてリンク先の詐欺サイトを訪れてみましたが、一足遅かったようで
すでに閉鎖されていて見ることはできませんでした。


まとめ

恐らく詐欺サイトはホスティング側のセキュリティーにより接続できないようブロックされたのでしょう。
とりあえずこのURLでの活動はできなくなりましたが、奴らも馬鹿じゃありません。
別のサーバーにウェブデーターを移設してまた新たな詐欺サイトを構築することでしょうね。

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;


こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

モバイルバージョンを終了