『詐欺メール』「ETCサービスは無効になりました！」と、来た件

heart

3年前

今朝はやけにETCのメールが多い

※ご注意ください！
当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した完全コピーした偽サイトで、フォームにアカウント情報を
入力させアカウント情報を詐取します。
ですから被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！

開封確認を欲しがる詐欺メール！

現在、朝9時過ぎ。
この時間までに私のメールボックスに届いたETC絡みの詐欺メールが3通。
この調子だと今日1日で何通届くのか…(汗)

折角なのでこの中から1通ご紹介してみようと思います。
このメールはもちろん詐欺メールですが、不思議なことにご覧の通り開封確認通知を
求めています。
当然そんな要求は無視しますが、詐欺メールで開封通知を欲しがるのって理由が知りたい。
よく見ると、開封確認の送付先アドレスが”admin@postalnotice.xyz”って露出しちゃって
ますよ。(笑)

件名は
「[spam] ETCサービスは無効になりました！番号：270313247」
末尾の番号は適当に付けられたもので、このメールの信憑性を高めるためのもの。
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「etc-meisai <adminb@ml.etc-meisai.jp>」
確かに”etc-meisai.jp”は「ETC利用照会サービス」さんの正規ドメインですが、
件名に”[spam]”が付けられているのでこれは偽装です。

脅威のレベルは「高」

では、このメールのヘッダーソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

Return-Path: 「<admininfo@theusersg.xyz>」

あらら”.xyz”なんて危険なドメインが見えてきました。
「ETC利用照会サービス」さんとは全然関係ないじゃない。

”Return-Path”は、このメールが何らかの障害で不達に終わった際に返信される
メールアドレスです。
一般的には、差出人と同じメールアドレスが記載されますが、ここは誰でも簡単に
偽装可能なフィールドなのであてにできません。

Message-ID:「<00ac50ed28cc$1716c20e$c70c968b$@admin@ml.etc-meisai.jp>」

”Message-ID”は、そのメールに与えられた固有の識別因子。
このIDは世の中に1つしかありません。
”@”以降は、メールアドレスと同じドメインか若しくはデバイス名が入ります。
ここも偽装可能で鵜呑みにはできません。

Received:「from theusersg.xyz (unknown [45.58.190.174])」

”Received”は、このメールが通過してきた各受送信サーバーが自身で刻む
自局のホスト情報です。
ここに掲げた”Received”はこのメールが最初に通過したサーバーのもの。
すなわち、差出人が使った送信サーバーの自局情報。
記載されている末尾の数字は、そのサーバーのIPアドレスになります。

では、このIPアドレス”45.58.190.174”を使ってそのサーバーの位置情報を拾ってみます。

このIPアドレスは”about.aqqtq.win”に割当てられているようです。
割り当て国はこのサイトだとアメリカとされていますが、別のサイトで確認してみると
このような結果が…

割り当て地は「オランダ・アムステルダム」
そしてこのIPアドレスの危険度を示す脅威のレベルは「高」
そしてその攻撃種類は「メールによるサイバーアタック」と書かれていますので危険です！

相変わらずアルファベットは全角

では本文です。

ＥＴＣサービスをご利用いただきありがとうございます

ＥＴＣサービスは無効になりました。

有効期限：2021年12月8日 7:55。
引き続きサービスをご利用いただきたい場合は、下記リンクより詳細をご確認ください。

→ご変更はこちらから

ご不便とご心配をおかけしまして誠に申し訳ございませんが、
何とぞご理解賜りたくお願い申しあげます。

どうやらこの説明によると、私のETCカードの期限が切れたようです。
このメールを受け取ったのは、本日12月8日午前8時54分ですから1時間ほど前に。
期限が切れているのにリンクから何をしろと言うのでしょうか？
そのリンク先のURLがこちらです。

先にも書きましたが、「ETC利用照会サービス」さんの正規ドメインは”etc-meisai.jp”
”etcmeisaijp.com”ではありません。

このドメインの持ち主は、「アメリカ・アリゾナ州・フェニックス」にあるいつもの
ご常連企業。
もしかしてこの企業って詐欺メールのために設立されたもの？(笑)

たまには騙されてみます

詐欺の流れが分かるように少しだけ騙されてみます。
リンク先へ行くと「ETC利用照会サービス」さんの偽のログインページが開きました。
適当にそれらしいアドレスとパスワードを入力してみます。

「支払い方法は無効」と書かれたページが開きました。
「支払い方法を更新する」と書かれたボタンを押してみます。

続いて氏名や住所など個人情報を入力するフォームです。
ここも適当に。

次にカード情報を入力するフォームです。

これが詐欺の一連の流れです。

まとめ

まず、皆さんはETC利用照会サービスさんの存在を知っていますでしょうか？
事業をされている方ならともかく存在自体を知らない方の方が多いのではないかと思います。
それなのにETC利用照会サービスを騙った詐欺メールを送り付けるなんてどれだけ
儲けがあるのでしょうか？
それに開封確認って…呆れてしまいますよね？
おかしなメールが多いのでお気を付けください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;

こういった詐欺まがいのブラッキーなメールは、本文中のリンクをクリックしないことが大切！
そしてOS付随のセキュリティーは充てにせず、必ず自身でセキュリティーソフトを導入し
防御することが大切です。
丸腰の方、躊躇しないで「ポチっ」としてご安全に！(*^^*)