高速道路を管理するネクスコが「ETCサービスを騙る詐欺メール」について警鐘を鳴らした。
今回の詐欺メールは、ETCサービスになりすまし、本物ソックリのHPにアクセスさせ、個人情報やクレジットカード情報を抜き取る手法だ。昔からある典型的な「フィッシング詐欺」だが、「ETCパーソナルカードWebサービス」と「ETC利用照会サービス」を利用している人は注意が必要だ。
今のところ「ETCマイレージサービス」を騙った詐欺メールは確認されていないようだが、どちらにせよ「不審なメールは開かない」ことが大切である。
私の個人メールにも「ETC利用照会サービス」を騙る詐欺メールが何通か届いたので、「実際のメール内容」「どんな感じで個人情報が抜かれるのか?」など、フィッシング詐欺の中身を解説しょう。
ETCサービスの「フィッシング詐欺」
実際に届いたETCサービスを騙る詐欺メールは実に巧妙だ。ヘッダ情報の配信元は全て「中国安徽省」からで、飛ばされる詐欺サイトにも簡体字の表記があることから、今回の詐欺メールは中国人が関わっていると思われる。
詐欺メール
本文中にある「→ご変更はこちら」は「https://www.etc-meisai.cyou/」にリンクしてある。
他にも飛び先があるようだが、詐欺サイトは一定期間を過ぎるとブラウザやファイアウォールで遮断されるためコロコロ変わる。
なお、本物のETC利用照会サービスのURLは「https://www.etc-meisai.jp」だ。
詐欺メールの「→ご変更はこちら」を押すと、本物の公式サイトそっくりな詐欺サイトに飛ばされる。
詐欺サイト
本物のETC利用照会サービスは「ユーザーID」を使用するが、詐欺サイトはメールアドレス又は携帯電話番号を入力させる。
パスワードの入力があるため、ログイン認証している印象を受けるが、このログイン画面は「メールアドレス又は携帯電話番号」と「パスワード」の情報を抜くだけだ。安易に入力してはいけない。
詐欺サイトログイン①
携帯番号風の数字(090から始まる11ケタの数字)であれば、適当な数字でもログインできてしまう。今回は1度も電話を使用したことのないデバッグ機の番号だったが、適当なパスワードでログインできてしまった。
ETCサービスのフィッシング詐欺は個人情報を入力させる
偽ログイン画面から「支払い方法を更新」を押すと、個人情報を入力するフォーム画面に遷移する。
個人情報入力画面
このページで個人情報を入力してしまうと、そのまま情報が犯罪者に送られてしまう。…が、近所の公園の住所を入力してみた。
クレカ情報入力画面
最後はクレジットカードの入力フォームだ。全てを正しく入力してしまうと氏名、住所、電話番号、クレジットカード情報が犯罪者の手に渡ってしまい、「身に覚えのないクレジットカード請求」が届くことになるので、絶対に入力してはいけない。
なお、ETC利用照会サービスでは「個人情報」または「クレジットカード情報」の取得をしていない。(ETC利用照会サービス・フィッシング詐欺について)
ETCパーソナルカードWebサービスは「クレジットカード情報」を取得していない(パソカ・フィッシング詐欺について)
フィッシング詐欺の補償はあるのか?
フィッシング詐欺に釣られてクレジットカードを不正利用された場合、クレジットカードの補償はあるのか?と気になるところだが、ほとんどのカード会社はフィッシング詐欺による不正使用を補償対象としている。
しかし「警察へ被害届を出していない」「被害額が少額で気付いてない」など補償対象外のケースもある。
フィッシング詐欺に釣られてしまったり、身に覚えのない請求があったら、まずはカード会社に連絡だ。
また警察庁はフィッシング110番というホームページも用意している。覚えておいて損は無い。
