サイトアイコン HEARTLAND

『詐欺メール』3回目『口座からのお支払い』と、来た件

heart

 

★フィッシング詐欺解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

 

いつもご覧くださりありがとうございます!

・当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます。

  1. 件名の見出しを確認
  2. メールアドレスのドメインを確認
  3. 宛名を確認
  4. リンク先のドメインを確認

できる限り分かりやすく説明していいます。
最後までお読みいただても5分程度ですのでごゆっくりご覧ください。
では、進めてまいります。

忘れた頃に送られてくる『アダルトハッキングメール』

今回は、『ハッカー』に成り済ます不審なメールのご紹介となります。
このメールはいわゆる『アダルトハッキングメール』と呼ばれる詐欺メールで、この件名のメールをご紹介するのは、これで3回目です。
これ以外にも『アダルトハッキングメール』と言うくくりとしてご紹介しているメールはこれまでにも40通以上ご紹介しています。
色々と件名を変えながら送られてくるので質が悪いメールで、日本語だけじゃなく韓国語や英語など様々な言語のものも確認されています。

さて、今回のメールがこちらです。

件名:[spam] 口座からのお支払い
送信者:@h080.p485.iij4u.or.jp
初めまして! 残念なお知らせをするために、ご連絡を差し上げております。 僕は、約2〜3ヶ月前にネット閲覧用に貴方が利用しているデバイスにアクセスし、その後ずっとネット行動を追跡していました。 アクセスするまでの経緯は、 少し前にハッカーからメールアカウントへのアクセスを購入したからです(最近では、そういったものをネット上で購入するのは、かなり単純です)。 だから、貴方のメールアカウント (○□△@******.***)にも簡単にログインができました。 ログインの1週間後には、既にトロイの木馬というマルウェアを、貴方のメールと繋がっている全てのデバイスのオペレーティングシステムにインストールしました。 実際、やってみると全く難しくありませんでしたよ。(受信トレイのメールのリンクを何も問題なくたどっていただき、ありがとうございました。) 巧妙な手口は意外と全て単純なのです。(^ ^) そのソフトウェアによって、貴方のデバイスの操作を全て可能になりました(例えば、マイク、ビデオカメラ、キーボードの操作)。 既に、貴方の個人情報、データ、写真、ウェブ閲覧履歴を僕のサーバーにダウンロードし保存してあります。 貴方のメッセンジャー&# 12289;SNS、メール、チャット履歴、連絡先一覧の全てにも僕はアクセス済みです。 僕のウイルスはドライバレベルで動作し署名を継続的に更新するため、ウイルス対策ソフトウェアでは検知されません。 同様に、この手紙がなぜウイルス対策のソフトウェアに検出されなかったのかの理由も、今ではご理解いただけていると思います・・・ 貴方の情報を収集している間に、貴方はアダルトサイトの大ファンだということを発見しました。 ポルノサイトを訪問して、とてつもない快楽に耐えながら、興奮するような動画を閲覧するのが本当にお好きなようですね。 偶然にも、貴方の卑猥なシーンを録画することに成功したので、貴方の自慰行為と絶頂に達する姿を見せるような動画数本をモンタージュにしました。 もし嘘だと思うのであれば、僕のマウスを数回クリックするだけで、全ての動画が貴方の友人、同僚や親戚とシェアできることを実現いたしましょう。 僕的には、パブリックアクセスにしてしまっても問題はありません。 貴方の好きな動画の趣向を考慮しても、そんな動画を公にされたくはないはずです。(僕の言いたいことは分かるでしょう)公になったら、本当の大惨事になるかもしれませんね。 なので、ここで取引をしましょう。 19万円 (送金時の為替レートに応じたビットコイン相当額)を僕に送金してください。送金を受け取ると、この卑猥な動画は全て削除しましょう。 その後は、お互いのことは綺麗さっぱり忘れてしまい、貴方のデバイスにある有害なソフトウェアの機能を停止して削除することを約束します。僕は言ったことは守ります。 僕が貴方のプロフィールとトラフィックをしばらくチェックしていることを考えると、これは公正な取引であり、かなり安価なはずです。 ビットコインの購入、送金方法が分からない場合は、どのサーチエンジンで検索しても方法は知ることができます。 僕のビットコインウォレットは 18LZG8pz6Ur6z5oxgAgqfFhSoVoL9AFZgu です。 このメールを開けた瞬間から48時間(正確には2日間)の猶予を与えましょう。 下記の行為をするのはやめてください。 *僕に返信すること。(貴方の受信ボックス内でこのメールを作成し、返信アドレスも作成したからです。) *警察や他のセキュリティサービスと連絡を取ろうとすること。さらに、自分の友人に相談するのもやめてください。もし口外していることを僕が感知すると、貴方の動画は公開されます。 (僕は貴方のシステムの全てをコントロールしているので、感知するのはそう難しくないと思いますよ。) *僕を探そうとすること。すべての仮想通貨取引は匿名で行われるため、絶対に無意味です。 *デバイスにOSを再インストールしたり、破棄したりすること。全てのビデオが既にリモートサーバーに保存されているので、この行為も無意味です。 下記は貴方が心配しなくても良いことです。 *僕が送金を受け取れないかもしれないこと。 – すべての行動を継続的に追跡しているので、送金が完了するとすぐに表示されるため、安心してください。(僕のトロイの木馬マルウェアは、TeamViewerのようなリモートコントロール機能を搭載しています。) *貴方が送金を完了しても僕が貴方の動画をシェアするかもしれないこと。 – 僕を信頼してください。貴方の人生をもっとややこしくするつもりはないし、シェアしたいだけなら、この手紙を送らずに行っているはずです! 全ては公正に行いましょう! あと、もう一つ・・・将来的にも同じような状況に引っかからないで下さいね! 僕からの警告は、頻繁にパスワードを変更し続けることです!

書かれているのは毎度のことで、ハッカーから入手したリストにあった私のメールアカウントにアクセスし、トロイの木馬に感染させデバイスの全権を掌握した上で一人エッチの様子を動画にて保存しし入手したので、その動画を拡散されたくなければビットコインにてその対価として48時間以内に19万円を支払えと言うものです。

まあ、メールに添付されていたトロイの木馬を実行したならともかく、いくらメールアカウントを入手したからといって、デバイスに侵入しトロイの木馬なんて現実的ではありません。
なので、そこのあなたのようにいくらアダルトサイトに心当たりがあったとしてもりがあっても信じてはいけませんよ!(笑)

件名の見出しを確認

この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに『迷惑メール』フォルダーに勝手に保存されるような仕組みもあります。

メールアドレスのドメインを確認

送信者として記載されているメールアドレスのドメイン(@より後ろ)は『h080.p485.iij4u.or.jp
ここは送信者がいくらでもウソを書くことができる部分で絶対鵜呑みにしてはいけません。
この件名のメールを昨日から都合3通受取っていますが、それらの送信者のメールアドレスは全て異なっており、以下の通りです。
・1通目『dawnpurple86@rooseveltmail.com』
・2通目『 lvenanzi80@interactiva.it』
・3通目『ehcadaeh1951@h080.p485.iij4u.or.jp』

この中から一番新しく新鮮な3通目の『ehcadaeh1951@h080.p485.iij4u.or.jp』を選んでドメインやメールアドレスの調査をしていきたいと思います。

では、送信者の素性が分かるメールヘッダーの『Receivedフィールド』から情報を探ってみます。
こちらがこのメールのReceivedフィールドがこちらです。

Received: from r186-53-171-229.dialup.adsl.anteldata.net.uy (r186-53-171-229.dialup.adsl.anteldata.net.uy [186.53.171.229])

あれれ?
ここにはメールアドレスにあったドメイン『h080.p485.iij4u.or.jp』と全然異なるドメインが記載されていますね。
ではまず、メールアドレスにあったドメインを割当てているIPアドレスを拾ってみましょう。
こちらが『aWebAnalysis』さんで取得したこのドメインに割当てているIPアドレスです。

全然違いますよね、この結果からこの送信者が使ったとされる『h080.p485.iij4u.or.jp』を使ったメールアドレスは偽装であることが断定できました。

次に、このドメインに関する詳しい情報を『IP調査兵団』さんで取得してみます。
ホスト名に記載されているドメインと上記のReceivedフィールドにあるドメインがピッタリ一致しましたね。
これによりこのメールの送信者は、このホストのメールアドレスを使用していることが分かりました。
そしてそのホストは、ウルグアイのモンテビデオと言う街にあるようです。

他の2通に関しても同様に調べてみましたが、ホストもホストの位置もバラバラ何ので、警戒し足が付きにくいようバラバラのメールサーバーを利用してているようです。

ワードサラダ

アダルトハッキングメールには、漏れなくとあるサービスが付いてきます。
もちろんこのメールにも付けれてありました。
それは『ワードサラダ』と呼ばれるもの。
もちろんモーニングセットについてくるような野菜サラダではありませんよ!(笑)
メール本文の表示方式って複数種類あって、一般的に皆さんがPCやスマホなどで見ているのがウェブサイトと同じHTML方式の表示方法で、これだと画像を貼ったり、文字に色を付けたりフォントを変えたり、または文字や画像にリンクを付けたりと様々な装飾を施すことができますが、それとは対照的に、メモ帳のようにただ単純に文字だけを使ったTEXT形式と言う表示方法があります。
HTML形式で作られたメールであってもTEXT形式に表示を切替えることができ、そうすることによりHTMLでは見ることのできなかった裏に隠された文字や記号などが、さも炙り出したように見ることができるようになります。
因みに今回のこのメールの表示をHTMLからTEXT形式に切り替えてみるとこうなります。

HTMLとは異なり、数字や記号など意味不明な文字列が延々と並んでいます。
これが『ワードサラダ』と呼ばれるものです。
どうしてこのような面倒なことをするのかと言うと、先の『件名の見出しを確認』で説明した通り、多くのメール受信サーバーには、不審なメールを区別し振り分ける『スパムフィルター』と呼ばれるセキュリティが設置されています。
このワードサラダを使って意味不明で理解不能な数字や文字、記号などを並べ立ててこのスパムフィルターを混乱させることがその目的。
でも残念ながらこのメールの件名には見出しにしっかり[spam]と付加されているので、その目論見は成功しませんでしたね。

まとめ

恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんの
フィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
モバイルバージョンを終了