『詐欺メール』『口座からのお支払い』と、来た件

★フィッシング詐欺解体新書★

トロイの木馬でメールアカウントを乗っ取る？

いつもご覧くださりありがとうございます！

忘れた頃にフラッと送られてくるのがこの『アダルトハッキングメール』
2024年10月21日に紹介したこちらのブログエントリーが一番新しいものでしたが
年末になり今回またこのようなメールが送られてきました。

今回はメールアカウントを乗っ取ってデバイスにトロイの木馬をインストールし一人エッチの一部始終を動画に保存したと。
これをデバイスにあるアドレスに拡散されたくなければ仮想通貨で身代金を支払えと言うものです。
ん～、メールアカウントを乗っ取ったってトロイの木馬なんてインストールすることはできないと思うのですが、どうなのでしょうね？
ああいったものは実行ファイルを起動して初めてインストールされるのでお話がちょっとおかしいような気がします。
まあどちらにしてもこんな話は全部ウソなのでいちいち気にする必要はありませんがね(笑)

この件名には”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

送信者として記載されているメールアドレスのドメイン(@より後ろ)は”speed.1s.fr”
末尾が”.fr”ですからフランスに与えられた国別ドメインですね。
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

おやおや、ここには送信者のメールアドレスのドメインとは異なる”cable.net.co”なんてコロンビアに与えられた国別ドメインが記載されていますね。

まずはドメイン”speed.1s.fr”を割当てているIPアドレスとReceivedフィールドのIPアドレスを比較してみましょう。
こちらが『aWebAnalysis』さんで取得した”speed.1s.fr”を割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる”speed.1s.fr”を使ったメールアドレスは偽装であることが断定できます。

次にReceivedフィールドにあったドメイン”cable.net.co”はどうでしょう。

これもまた全く異なるのでウソのようですね。

このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を導き出してみると、コロンビアの『ボゴタ』付近であることが分かりました。

漏れなく『サラダ』が付いてくる

この『アダルトハッキングメール』と言えばもれなくついてくるサービスがあります。
それは『サラダ』です。(笑)
もちろん野菜サラダでもポテトサラダでもマカロニサラダでもなくて、そのサラダは『ワードサラダ』と呼ばれるもの。

一般的にメールは、WEBページを作成するための言語『HTML』と言う形式で書かれています。
もちろん我々がいつも書いているメールも自動的にこの形式で書かれているのですが、メールソフトの設定を切り替えることでこのHTML形式の表示を単純な文字だけのテキスト表示に切り替えることができます。
このアダルトハッキングメールの表示をHTML形式からテキスト形式に切り替えてみるとこうなります。

このように意味不明は数字と記号が延々と書かれているメールになっていることが分かりますよね。
このような意味が通らない文章形式を『ワードサラダ』と呼ぶのです。
なぜこのようなことをするのかと言うと、メールの受信サーバーには『スパムフィルター』と言う迷惑メールや詐欺メールなどの悪意のあるメールを遮断するために設けられたセキュリティーが設けられていて、そのセキュリティーを混乱させてスパムフィルターを回避させようとしているのです。
でもこのメールの件名を見ても分かる通り、見出しに『spam』と記載されているので、私が利用している受信サーバーを突破することはできなかったようです。

まとめ

忘れかけた頃にシレっと送られてくるこのアダルトハッキングメール。
身代金を足が付きにくい仮想通貨で要求してくることも一つの特徴です。
年末押し迫ったこの時期、おかしなメールも多くなりがちですので十分にお気をつけてお過ごしください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;