税務署からの【未払い税金のお知らせ】というメールがフィッシング詐欺か検証する
公開日:
税務署からの【未払い税金のお知らせ】というメールがフィッシング詐欺か検証します。
未納となっている税金があるということで、このままなら差し押さえに着手するといった内容です。
メール本文は以下の通り。
e-Taxをご利用いただきありがとうございます。
あなたの所得稅(または延滞金(法律により計算した客勛 について、これまで自主的に納付されるよう催促してきま したが、まだ納付されておりません。
もし最終期限までに 納付がないときは、税法のきめるところにより、不動産、自 動車などの登記登録財産や給料、売掛金などの值権など の差押処分に着手致します。
納稅確認番号:****9508
滯納金合計:50000円
納付期限: 2022/8/29
最終期限: 2022/8/29 (支払期日の延長不可)
お支払いへ⇒ https://www.nta.go[.]jp/tax-payment
※ 本メールは、「国税電子申告・納税システム(e-Tax)」にメールアドレスを登録いただいた方へ配信しております。
なお、本メールアドレスは送信専用のため、返信を受け付けておりません。ご了承ください。
———————————————————-
発行元:国税庁
Copyright (C) NATIONAL TAX AGENCY ALL Rights Reserved.
———————————————————-
まずは送信元を調べてみます。
1 2 |
From: "国税庁" <system@costcojapan[.]jp> Return-Path: <heitao10@jiyertilao[.]com> |
送信者名は国税庁となっていますが、送信元メールアドレスはsystem@costcojapan[.]jpとなっています。
またReturn-Pathもheitao10@jiyertilao[.]comと全く無関係のメールアドレスのようです。
送信元のサーバーを調べてみます。
1 |
Received: from 202.93.77.128 (EHLO mail-pj1-f104.google.com) (209.85.216.104) |
209.85.216.104というIPアドレスが出てきました。
これはGoogleのメールサーバーのようです。
次に、メール本文中のリンクの遷移先について調べてみます。
ソースを見ると、
1 |
<a rel="nofollow noopener noreferrer" target="_blank" href="https://e-tax-go[.]xyz/nto.php"><strong><font size="3">https://www.nta[.]go[.]jp/tax-payment</font></strong></a> |
となっており、https://www.nta.go[.]jp/tax-paymentというgo.jp(政府系ドメイン)がアンカーテキストになっているものの、実際にはhttps://e-tax-go[.]xyz/nto.phpというURLがリンク先になっています。
e-tax-go[.]xyzのwhois情報を調べてみると、
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
Domain Name: E-TAX-GO.XYZ Registry Domain ID: D319860952-CNIC Registrar WHOIS Server: whois.PublicDomainRegistry.com Registrar URL: https://publicdomainregistry.com Creation Date: 2022-08-27T16:22:04.0Z Registry Expiry Date: 2023-08-27T23:59:59.0Z Registrar: PDR Ltd. d/b/a PublicDomainRegistry.com Registrar IANA ID: 303 Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: addPeriod https://icann.org/epp#addPeriod Registrant Organization: N/A Registrant State/Province: Beijing Registrant Country: CN Registrant Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Admin Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Tech Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Name Server: NS8.RESELLERCLUB.COM Name Server: NS7.RESELLERCLUB.COM Name Server: NS5.RESELLERCLUB.COM Name Server: NS6.RESELLERCLUB.COM DNSSEC: unsigned Billing Email: Please query the RDDS service of the Registrar of Record identified in this output for information on how to contact the Registrant, Admin, or Tech contact of the queried domain name. Registrar Abuse Contact Email: removed email address Registrar Abuse Contact Phone: removed phone number URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of WHOIS database: 2022-08-30T04:10:35.0Z <<< |
となっており、中国は北京で登録されていることが分かりました。
安全を担保したうえでアクセスしてみると、
このように国税庁を装った偽サイトが運用されていました。
このように氏名と電話番号、メールアドレスという簡易な入力欄があり、クレジットカードではなくVプリカでの支払いを強制する仕組みのようです。
Vプリカの番号を入力し、チケットの画像を送信させ、支払いの完了画面が表示される仕組みですが、もちろん本当に支払いをしてこの画面にたどり着いたわけではなく、ソースを見れば次のページが分かるので直接アクセスしました。
つまり、この支払い完了画面は金額入りであらかじめ用意されているもので、実際に支払おうと支払うまいと元々あるページです。
このサーバーのIPアドレスは、107.150.5[.]82でした。
quadranet.comというホスティングサービスを利用し、偽のサイトを運用していることになります。
税務署からの【未払い税金のお知らせ】というメールはフィッシング詐欺
税務署からの【未払い税金のお知らせ】というメールはフィッシング詐欺です。
このメールは送信元が国税庁となっていますが、googleのメールサーバーを通して送信されており、送信元メールアドレス、Return-Pathともに国税庁とは全く無関係のものです。
また、メール本文中のリンクの遷移先は米国のホスティングサービスを利用して運用されている、国税庁を騙る偽のサイトです。
支払い方法ではクレジットカードを拒否しており、コンビニで購入するVプリカでの支払い方法に絞られたものでした。
くれぐれもこうしたフィッシング詐欺に引っかかることの内容、ご注意ください。
関連記事
カテゴリ:フィッシング
タグ:Vプリカ,スパムメール,フィッシング詐欺,国税庁