『詐欺メール』『▋重 要 ▋電気料金請求書には、まだ支払いが完了していない金額があります』と、来た件

 

★フィッシング詐欺メール解体新書★

スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!

・当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます。

  • 件名の見出しを確認
  • メールアドレスのドメインを確認
  • 宛名を確認
  • リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

前書き

今回は、『東京電力』に成り済ます不審なメールのご紹介となります。
以前から東京電力を騙る詐欺メールは多くあり、うちのサイトでも何度かご紹介したことがありましたが、久しぶりに届いたので改めてご紹介していこうと思います。

件名:[spam] ▋ 重 要 ▋電気料金請求書には、まだ支払いが完了していない金額があります
送信者:”東京電力エナジーパートナー” <wadmin123@fs3800.com>
東京電力ホールディングス

大変失礼いたしました。
このメールは、未払いの電気料金についてご連絡させていただくものです。
お手数ですが、以下の内容をご確認いただき、早急にお支払いいただけますようお願い申し上げます。

お支払いが確認できておりませんので、お早めにお支払いください。
お支払い期限 :2025/2/12
オンライン決済 :クレジット決済
必要な操作 : 「オンライン決済」 用の管理画面が開きます

オンライン決済

クレジットカード会社の締切日と東京電力の検針日との関係、その他の事務上の都合により、2か月分の電気・ガス料金等がまとめて請求される場合があります。お支払い回数は1回払いとさせていただきます。

留意事項
お申込みの際にご登録いただく電気・ガス料金等のご契約情報は、電気・ガスの検針票及びWEBサービスに記載されています。
自由料金プランのお客さまは、契約開始日の翌日または翌営業日からWEBサービスでご確認いただけます。
規制料金プランのお客さまは、初回請求時の振込用紙、もしくは初回請求後にWEBサービスにてご確認いただけます。
クレジットカード支払いの開始は、お申込みいただいた後の最初のご請求または次のご請求から開始となります。
クレジットカード支払いを開始する前の電気・ガス料金等につきましては、従前のお支払い方法でお支払いいただきます。
当社は、請求書および領収証を発行いたしませんので、クレジットカード会社がお届けする明細書をご覧ください。
クレジットカード会社の規約によりクレジットカード支払いが承認されない場合や会員資格を喪失されている場合等は、クレジットカード支払い以外の方法により当社から直接請求させていただきます。
各種変更のお手続きは新規に申し込まれる場合と同様です。クレジットカード番号・有効期限等が変更となった場合は、再度インターネットからお申込みください。事務手続きが完了次第、自動的に新たなカードにお支払いが変わります。
既にクレジットカードでお支払いされているお客さまが、新カードの登録をされた場合、新カードの登録が完了すると、旧カードへの請求は自動的に解約されますので、二重に請求されることはありません。

東京電力エナジーパートナー株式会社
本社所在地:〒104-0061 東京都中央区銀座八丁目13番1号 銀座三井ビルディング
※商業登記上の本店住所は〒100-8560 東京都千代田区内幸町一丁目1番3号となります
※本メールは重要なお知らせのため、メール配信を「否」にされている方にも送信しております。

『大変失礼いたしました。』から始まるなんとも不思議なメール。
ありもしない未払いの電気料金があるとしてリンクに誘い込んで、オンライン決済としてクレジットカードの情報を盗み出そうとするものです。

毎度のことですが、私の居住地は東京電力管内ではなく中部電力管内。
まあこの送信者はそんなことはお構いなしで、愛リエルありとあらゆるメールアドレス宛にこのメールを送信しているので、それが東京電力管内であろうが無かろうが、はたまた国内であろうが国外であろうが関係ありません。

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『fs3800.com
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
因みに『東京電力』が利用するメールアドレスのドメインを『Search Labs | AI』で検索してみると@tepco.co.jp』と書かれています。
故にこのドメイン以外のメールアドレスで届いた同社からのメールは全て偽物と言うことになります。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from fs3800.com (mail.fs3800.com [166.88.159.245])

ドメイン『fs3800.com』を割当てているIPアドレスと比較してみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる『fs3800.com』を使ったメールアドレスは偽装であることが断定できます。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、シカゴ付近であることが分かりました。

宛名を確認

このメールには通常冒頭にあるはずの宛名がありません。
このようなお金に関わる重要なメールに宛名が無いなんてビジネスメールのマナー違反です。

リンク先のドメインを確認

さて、本文の『オンライン決済』と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
h**ps://lsyale.com/?token=WFBSFfJC
(直リンク防止のため一部の文字を変更してあります)
これまた東京電力のドメインとは異なるものが利用されていますね。

このドメインに関する情報を『Grupo』さんで検索してみました。

このドメインの申請が正しければ、持ち主は中国安徽省(あんきしょう)に居住の方。

割当てているIPアドレスからその割り当て地を調べると、ルーマニアのブカレスト付近であることが分かりました。

リンクを辿ってみると、すぐさまリダイレクト(自動転送)され『CIOTA Online Shop』と書かれたショッピングサイトが開きました。
これは岡山に本拠を構える『株式会社シオタ』が立ち上げたアパレルブランドCIOTAの公式オンラインショップです。
もちろんこのようなショップが東電の偽メールを送るわけがありません。
恐らく元は東電の偽サイトに接続されていたものの、何らかの理由で途中からリダイレクトを利用してこちらのサイトに接続するように変更したものと思われます。
まあリダイレクト先がどうして『CIOTA Online Shop』にしたのか分かりませんが、詐欺師はどこでも良かったんだと思います。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

迷惑メールCIOTA,fs3800.com,IPアドレス,lsyale.com,SPAM,TEPCO,オンライン決済,お支払いが確認できておりません,クレジット決済,ドメイン,ドメインを確認,なりすまし,フィッシング詐欺,不正利用,件名の見出し,偽サイト,偽メール,大変失礼いたしました,宛名を確認,拡散希望,未払いの電気料金,東京電力,東京電力エナジーパートナー,株式会社シオタ,注意喚起,詐欺,詐欺メール,迷惑メール

Posted by heart