「ETC利用照会サービス」さんが「中国のドメイン」使うか?
こいつ等は、週末なんて御構い無しですね。
メールボックスにはわんさかと”[spam]”が付けられたメールがうようよしています(;^_^A
その中で気になったのは「ETC無効お知らせ」と書かれた同じ件名のメールが2通。
差出人も差出日時も、サイズも違う詐欺メールです。
ECT関連のメールはたくさん受け取っているのですが、確認してみると初めての件名。
ちょっと気になるので1通づつ調べてみようと思います。
では今回は、まず上の段のメールから。
「近いうちにシステムをアップグレード予定」で「アカウントリマインダーリスク」と
ありますが、アカウント通知にリスクがあるって事のようです。
ところで「システムアップグレード予定」ってくだりって必要ですか?
なぜただ単に「アカウントリマインダーリスク」にしなかったんだろうか?
きっと難しい言葉を並べれやれば不安に駆られてリンクを押すとでも思ったのでしょうか?
それにしても相変わらず読みにくい中華フォントですね。(;^_^A
件名は
「[spam] ETC無効お知らせ」
「ETC無効のお知らせ」が正解。これじゃカタコト丸出しです。(笑)
”[spam]”は、言わずと知れた「スパムスタンプ」
これは、受信サーバーが悪のあるものと検知したため付加されたセキュリティー警告。
それに”ETC”が全角のアルファベットになっているでしょ? これは詐欺メールの1つの
特徴ですから覚えておいてください。
で、差出人は?
「 “ETC利用照会サービス" <etc-meiriasai-jp@szfrm.cn>」
こちらも”ETC”も全角ですね(;^_^A
そしてあからさまに使われている中国ドメイン!「szfrm.cn」
最近多いんですよね。
日本の各高速道路管理会社が運営するサービスである「ETC利用照会サービス」さんが
中国のトップレベルドメインを使ったメールアドレスを使いますかって話です。
確かに@より前のアカウント部分に”etc-meiriasai-jp”とそれらしい文字が見えていますが
ここはサーバー管理者がいくらでも作れる部分です。
結句、発信は中国から
では、このメールをヘッダーソースから調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。
| Return-Path: 「<etc-meiriasai-jp@szfrm.cn>」
”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。
|
| Message-ID:「<20211106041121526551@szfrm.cn>」
”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。
|
| Received:「from kkc (unknown [223.88.46.222])」
”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。
|
では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう!
これによると、このIPアドレスの割り当て地は「中国・鄭州市(ていしゅうし)」
別に中国が悪いと言うわけではないけれど「ETC利用照会サービス」さんが、中国ドメインを
使い中国からメールを送る…ちゃんちゃらおかしいでしょ!!
リンクサイトの脅威レベルは「高」!
次に本文。(適当に改行してあります)
| ETCサービスご利用者様へ大切なお知らせ
この度はETCサービスをご利用いただきまして誠にありがとうございます。
近いうちに弊社はシステムをアップグレードの予定です。ETCアカウントに
アカウントリマインダーリスクが検出されました。ETC決済方法を再確認ください。
このサービスを継続希望の場合は、下記のリンクをクリックして詳細をご確認ください。
━━━━━━━
➤ ここをクリックして検証してください
━━━━━━━
ご迷惑とご心配をおかけして、深くお詫び申_し上げます。ご了承ありがとうございました。
■ 注意事項
━━━━━━━
*残念ながら、24時間以内に確認できなければ、_お客様のアカウントをロックして
ETCサービ_スを一時的に無効に変更することをお知らせ_します。
*このメールは重要なお知らせとして、メー_ルを受信希望しないお客様にもお送りいたし ます。
ご理解いただき、ありがとうございま_す。
*このメールがご不明点がありましたら、ETC サイトにご連絡ください。
━━━━━━━ |
上げ足取るわけではありませんが、後半の所々にある半角スペース(”_”が入れてある部分)は
何を意味するのでしょうか? 私の勉強不足で理解できません・・・(汗)
さて、本文中ほどにある「➤ ここをクリックして検証してください」と書かれたところに
詐欺サイトへのリンクが付けられています。
使われているドメインは、サブドメインを含め”www2.etc-meirsari.jp.szfpj.cn”
”szfpj.cn”なんてメールアドレスに使われてた”szfrm.cn”とよく似ていますね。
このドメインの持ち主は、日本ではあまり見かけない漢字を含む漢字三文字の氏名の方。
そしてドメインの管理は「厦门易名科技股份有限公司」って中国会社に委託されています。
このドメインを割当てているIPアドレスは”155.94.205.155”と出ていますので、このIPの
所在地を調べてみます。
結果はこのように出ました。
IPの割り当て地は「アメリカ・カリフォルニア州・ロサンジェルス」
このIPの脅威レベルは「高」で、内容は「サイバーアタックの攻撃元攻撃で対象:Web」と。
そんなサイト、危険だけどちょっとだけ覗いてきました。
まずはおなじみのウイルスバスターによる遮断です。
無視して先へ進むと。
はい、「ETC利用照会サービス」さんの完全コピーページです。
ここにIDとパスワードを入力しログインボタンを押すと、次のページで決済が滞っている
と説明文がった上、個人情報を入力するフォームが現れ個人情報を入力させられ、次に
クレジットカードの情報を入力させられ万事休すとなるわけです。
まとめ
どれだけの方が、差出人のメールアドレスのドメインを注目しているかで被害者の数が
うんと変わると思います。
説明は理不尽なところもありますが、そこで見抜けなかったらスブスブと泥沼にはまって
しまうかもしれんせんね。
電子メールには「特定電子メール法」って法律があり、必ず署名には苦情や問合せを
受けられる電話番号やメールアドレスを付けなければならないと決まっています。
また、当然のことながら、メールアドレスを偽って送信することも禁止されています。
送信元アドレスをなりすましたり、表示しないようにパソコンのソフトで設定して
送った場合はもちろん違法となります。
これらを踏まえ、怪しいメールの判断にお役立てください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |