『詐欺メール』第三者不正利用編「ＥＴＣサービスは無効になりました（ＥＴＣ利用照会サービス）」と、来た件

ECTカードの第三者不正利用は見抜けるの？

今日から11月、2021年も残すところ2か月を切りましたね。
日々を充実させやり残しが無いように過ごしたいと思います。

週明けは、週末分のメールが溜まっててその分迷惑メールも大量に処理しなければならず
月曜の朝は大忙し…(汗)

そんな中から今回はこちらのメールをご紹介しようと思います。

これは、最近多い「ETC利用照会サービス事務局」を装ったフィッシング詐欺メールです。
内容は、第三者不正利用の疑いでサービスを一時中断した旨の報告となっています。

はい、ここで疑問。
ETCカードの第三者不正利用って確かにカードを盗み出せばあり得る話だとは思いますが
それをどうやって見分けるのでしょうか？
実はこの本文の内容は、他のクレジットカードを騙る詐欺メールの文面を流用するから
こういった矛盾が生じてしまうのです。

全角のアルファベットは違和感でしかない！

では、このメールのプロパティーから見ていきましょう。

件名は
「[spam] ＥＴＣサービスは無効になりました（ＥＴＣ利用照会サービス）」
全角のアルファベット、違和感でしかありません…(^-^;
えてして詐欺メールはアルファベットを全角にしがち、理由は分かりませんが。。。
“[spam]”と書かれているのは、このメールに悪意があるから。
これは「スパムスタンプ」と呼ばれる注意喚起で、受信したサーバーが付加した情報です。

差出人は
「”ＥＴＣ利用照会サービス” <cflc@sabihasa.tk>」
ここもアルファベットが全角ですね。
メールアドレスのドメインは”sabihasa.tk”
”.tk”は、ニュージーランドの領土であるトケラウ諸島に割り当てられている
トップレベルドメインで、無料で取得できるドメインとして知られています。
もしこれが本当に差出人の持ち物であれば、かなり姑息な野郎ってことになりますね。(笑)

このドメインについて調べてみると、偽装でなければこのドメインの持ち主はオランダの
アムステルダムの在住者と分かりました。
割当ててるIPアドレスは”209.141.47.95”。
この数字覚えておいてください。

IPアドレスの脅威レベルは「高」

では、このメールアドレスが偽装かどうかを含めメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

”Received”に出てきたIPアドレスは”209.141.47.95”。
先程覚えておいてくださいと書いたメールドメインを割当ててるIPと同じ数字ですよね？
ということは、差出人のメールアドレスは偽装ではなったことになります。
やはり姑息な野郎でしたね。

ドメインの持ち主は「オランダ・アムステルダム」在住の方でしたよね。
では、このIPアドレスは現在どこで利用されているのでしょうか気になりますよね？
このIPアドレスを使ってそのサーバーの位置情報と情報を拾ってみましょう！

まず位置情報ですが、ギャンブルの聖地アメリカのラスベガスと表示されました。
そして、このIPアドレスの脅威レベルは「高」と出ていますのでとても危険です。

ETCカードの第三者不正利用って無理過ぎませんか？

本文は、先程紹介した通りETCカードの第三者不正利用の通知でしたね。

「ご回答をいただけない場合」とあるのですが、何の回答なのでしょうか？
この文面ではさっぱり分かりません。
他のクレジットカードの詐欺メールを流用するからこういうことになるのです(笑)
んで、無茶苦茶な理由で押させようとしているリンクは「■ご利用確認はこちら」と
書かれた部分に付けられています。
そのリンク先のURLがこちら。

使われているETCにはおおよそ関連性の無いドメイン”credit.myvnc.com”についても
調べてみます。
持ち主は「アメリカ・ネバダ州・レノ」在住の方。
この方、よくこの調査で見かけます(笑)

割当ててるIPアドレスの割り当て国はアメリカ合衆国とされていますが、このサイトの
割り当て地情報は少々不安。
別のところで改めて調べてみました。
これによると、その位置は香港。

差出人はこんなところに置かれたウェブサーバーを使って詐欺サイトを運営しているんですね。

まとめ

今回は、あえて詐欺サイトヘは出向きませんでした。
週明けのメール処理に追われているのでゆっくりしていられませんからね(;^_^A
それにしてもETCカードの第三者不正利用ってどうやって見分けるんでしょうね？

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;