『詐欺メール』”amazon”からETCサービスと書かれたメールが来た件

差出人はアマゾン？！

アマゾンなのにETC利用照会サービスを騙ったおかしなメールが立て続けに3通来ました。
内容は、いつも来るETC利用照会サービスに成りすましたメールと同じように理由も無く
ETCカードが使えなくなったというもの。

件名が空白のままですが、”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「”amazon” <gvapwk@svotfgr.org>」
アマゾンなのに”svotfgr.org”なんてドメインはおかしいですよね？
アマゾンからならメールのドメインは”amazon.co.jp”であるはずです。

存在しないドメインのメールアドレスから

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

まず、”svotfgr.org”ってドメインは存在するのでしょうか？
調べると「対応するIPアドレスがありません」と出ましたのでこのドメインは現在使われて
いないようです。

IPアドレスに割当ててないだけかな？と思って「お名前ドットコム」さんでチェック
したところこのドメインは未登録でした。

この結果から”svotfgr.org”は嘘なので差出人のメールアドレスは偽装だと断定できます。

では、”Received”にあったIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

「中国 安徽省 池州市」が表示されました。
おおよその情報ですが、ここに置かれたメールサーバーから何者かがこのメールを配信した
ようです。

犯人はご常連さんでした

続いて本文を見ていきます。

詐欺メールの多くはアルファベットを全角で書くようでこのメールもご多分に漏れず
ＥＴＣが全角文字で記載されています。
理由は不明ですが…

ETC利用照会サービスを騙ったメールは、その理由も記載せずETCサービスが無効になったと
連絡をしてきます。
実際にもしETCカードが前触れもなく使えなくなったとしたらどうでしょうか？
ゲートが開かず事故が多発して大変なことになってしまいます。

さて、このメールの一番の目的は本文にあるリンクを押させることにあります。
そのリンクは「→ご変更はこちらから」と書かれている所に付けられています。
そのリンク先のURLがこちらです。

使われているドメインは”etcmeisai-jp.buzz”
それっぽいドメインですが、日本の企業で”.buzz”は考えられません。
持ち主を調べてみると。

「アメリカ アリゾナ州 フェニックス」の企業さんで詐欺メールのご常連さんでした。
このURLに接続してみると…
クルクルとインジケーターが廻り、暫くすると偽のETC利用照会サービスのコピーサイトが。

まとめ

差出人がアマゾンで内容はETC利用照会サービスっておかしな組み合わせのメールでした。
これならわざわざ開いて中身を確認するまでもなく誰もが詐欺メールだと気が付くはずです。
判断の難しい詐欺メールもまだまだ多いので十分ご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;