『詐欺メール』「ETC利用照会サービス」と、来た件

使われてるドメインに注目!
※ご注意ください!
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません!
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください!
 

新たな刺客!

カード会社やショッピングサイトに飽き足らず、今度はETC利用照会サービスに成りすました
詐欺メールが届きました。
新たな刺客ですね。。。

件名は
「[spam] ETC利用照会サービス」
頭にある”[spam]”は、受信したサーバーが付けた”スパムスタンプ”。
これはサーバーに備わったセキュリティーが反応した証拠です。
この時点でそのメールは悪意のあるものとして処理されています。

差出人は
「etc-meisai <uzasfm@yowwc.org>」
ETC利用照会サービス事務局さんのドメインって”yowwc.org”なのかなと思ってサイトに
行ってみると、正規ドメインは”etc-meisai.jp”でした。
せっかく正規ドメインがあるのにこんなわけのわからないドメインのメールアドレスを使う
はずがありません。

ETC利用照会サービス事務局さんによると、本家からのメールは必ずこちらのアドレスで
送られてくるそうです。

admin@ml.etc-meisai.jp

ではこのメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<uzasfm@yowwc.org>」

Return-Path”は、このメールが何らかの障害で不達に終わった際に返信されてる
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
Message-ID:「<20210907221106741251@yowwc.org>」

Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入れいます。
ここも偽装可能で鵜呑みにはできません。
Received:「from yowwc.org (unknown [182.84.144.88])」

Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!

そしてメールアドレスに使われていた”yowwc.org”ってドメインは存在するものなのか
確認してみようと思います。

やっぱり!
対応するIPアドレスが無いってことは、このドメインは機能していない、すなわち存在しない
ってことです。
なのでやっぱり差出人のメールアドレスはウソと言うことになります!

格安ドメインは危険です!

続いて本文を見ていきます。

ETCサービスをご利用いただきありがとうございます

ETCサービスは無効になりました。
引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。

→ご変更はこちらから

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。

全部とは言いませんが、なぜか詐欺メールのアルファベットは全角な場合が多いように
思います。
これもそのご多分に漏れず、”ETC”の文字が全角になっていますね。

この本文、「ETCサービスは無効になりました。」とあるんですが、普通ならその理由が
書かれていて然りなんですが、その理由については全く言及されていませんよね。
これでは信憑性が薄れて信感増大です!

このように不安にさせておいてリンクを押させるのが奴らの手口。
さて、そのリンクは「→ご変更はこちらから」と書かれている部分に付けられています。
そのURLがこちらです。

.cyou”なんてトップレベルドメインあまり見かけませんよね…
どうやら“See you”を表すドメインでグループ、SNS、インフルエンサーやブロガー、
若年層向け企業やブランドとうで人気のドメインだそうです。
なんとこのドメイン、お名前ドットコムさんだと1年目は180円で取得できる格安ドメイン。
犯罪用の捨てドメインにピッタリじゃないですか(;^_^A

こんなドメイン一体だれがどこで使ってるんでしょうか?
調べてみました。

このドメインの登録申請は、中国北京の個人から行われていました。
そして、割当ててるIPアドレスから導き出した位置情報は、香港と表示されています。

もう少し詳しい位置を知るべく別のサイトで確認してみると。

香港の中西区が表示されました。
もちろんここに書かれているようにあくまでおおよその位置情報ですので悪しからず…

サイトに行ってみるとこのような画面が表示されました。

完全なパクリサイトですね。
ウェブサイトはどれも著作権に守られていますので、サイトのコピーは違法です!
これだけでも罪になるので覚えておきましょう。

まとめ

今回のメールも、メールアドレスを見ただけでピンとくるものでしたね。
更に、ウェブサイトのURLを見ても同様に怪しいものとすぐに判断できるメールでした。
だいたい、理由も書かずにサービスが無効になるなんて聞いたことがありません(笑)
このようなメールはすぐにゴミ箱に消え失せていただきましょう!

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切!
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に!(*^^*)

迷惑メール.cyou,admin@ml.etc-meisai.jp,Cloudflare,etc-meisai,etc-meisai.cyou,ETCサービスは無効になりました,ETC利用照会サービス,IPアドレス,Message ID,Received,Return-Path,SMS,SPAM,yowwc.org,クラウドフレア,サイトのコピーは違法,ジャンクメール,ドメイン,なりすまし,パクリサイト,フィッシング詐欺,ヘッダーソース,メール,ワードサラダ,完コピ偽サイト,対応するIPアドレスが無い,拡散希望,格安ドメインは危険,注意喚起,著作権法違反,詐欺,詐欺サイト,詐欺メール,調査,迷惑メール,重要

Posted by heart