『詐欺メール』続「情報リクエストに関する個人的な」と、来た件

絶え間なく届くブラックメールのおかげ

暇に任せて綴ってきた迷惑メールや詐欺メールオン情報を発信が、ついにめでたく
350エントリーを超えました。🎊
喜ぶべきなのか悲しむべきなのか複雑であありますが、これもひとえに次から次へと
絶え間なく続くブラックメールのおかげです(汗)
これからも暇とブラックメールが続く限りエントリーを出していきたいと思いますので
引続きよろしくお願いいたします。

さて、冗談はその辺にしておきまして本題に移りたいと思います。

今回紹介するのは以前にも紹介したことのあるアダルトメール詐欺のお話。
件名が「情報リクエストに関する個人的な」で終わる”中途半端野郎”から。
そう、端末をハッキングし乗っ取っていやらしいサイトの閲覧行為をリモート操作で
ウェブカメラ動かして動画撮影し、それを拡散するぞと脅すものです。

以前にエントリーは意外に反響が多くて、受け取って困惑されている方も相当多いものと
推測いたします。

その以前に書いたエントリはこちらです。
ご興味ありましたらこちらも併せてお読みください。

『詐欺メール』「情報リクエストに関する個人的な」と、来た件

実在しないアドレスに届く不可解なメール ！ご注意！ 当エントリーは迷惑メールの注意喚起を目的とし、悪意を持ったメールをご紹介ししています。 このようなメールを受け取っても絶対に本文中にあるリンクをクリックしないでください！ リンクは当該サイ...

ymg.nagoya

騙されたくても騙されられない理由

さて、以前に書いたのになぜまたエントリーを投稿するのかと言いますと、答えは簡単。
同じ内容のメールが1日に別の差出人から2通届いたから(笑)

こんなの同じ日に同じ件名で同じ内容のメールを別の差出人から複数届いたら、騙されろ
って言われても騙されることができなくなるでしょう(笑)

それぞれ時系列の古い方から”A”,”B”と呼ぶことにします。

差出人は”A”が「 joe@p2plive.net」
で、”B”が「swhitney7@gongshigongban.cn」

どちらのドメインも実際に運用されてて”A”がドイツで、”B”がアメリカで稼働していました。
ただし、このドメインも騙られている可能性は大ですので鵜呑みにしてはいけません。
これらのドメインの持ち主だってある意味被害者かも知れませんので…

身代金が値上げって(^^;

さて、では双方のメールを詳しく見ていきますが、本文にご興味がある方もいらっしゃる
でしょうからまずその本文をご紹介します。

「残念なお知らせですが、どうぞご安心ください。」って「飴と鞭」的な始まりですね(笑)
これは巷で言ういわゆるアダルト詐欺メールってやつです。

あっ、以前のメールより要求してるビットコインの身代金額が1300ドルから1500ドルに
200ドル値上げされてるし(笑)

隠されてる「アレ」も全く同じで…

”A”も”B”も内容は全く同じ内容です。
そして、そして、隠されていたワードサラダも当然のごとく全く同じ。
うちのサイトでは珍しくサムネイルにしてあるのでクリックして拡大表示して見てください。

まったくもって同一犯の臭いがプンプンします(笑)

あっ、ワードサラダって言うのは、意味の無い文字を羅列することでサーバーのセキュリティ
機能を混乱させて迷惑メールフィルターなどを通過させようとする手法です。
でも、これらのワードサラダは1回たりともうちのサーバーセキュリティーを突破したことが
ありません。
こんなのただの時間と文字の無駄遣いっす(笑)

ヘッダーソースからわかること

では、続いて双方の差出人の調査をしてみます。

これが、それぞれのメールのヘッダーソースの画像です。
見難いでしょうか珍しくこちらもサムネイルにしてみました(笑)
必要でしたら画像をクリックして拡大してみてください。

送ったメールが不達などのエラーになった際に返信されるメールアドレスは”Return-Path”に
書かれているアドレスに返信されますが、ここは双方とも差出人のアドレスと同じものが
記載されています。

また世界に1つしかないそのメールに与えられる特定のIDは”Message-ID”に書かれていますが
こちらもメールアドレスに使われていたドメインと同じドメインが記載されています。

もう少し下の方に目をやって”X-Mailer”ってフィールドを見てみます。
”X-Mailer”には差出人が使ったメールソフトの名称とそのバージョンなどが書かれています。
この場合、”A”が「X-Mailer: Pbvumm axgxg」と書かれています。
また、”B”は「X-Mailer: Microsoft Office Outlook 11」と書かれています。
「Pbvumm axgxg」ってのは分かりませんが、「Outlook」はWindows系のメーラーですね。
と言うことは”B”のメールはWindowsから送られてきたことが容易に想像できます。

隣国からの発信は偶然か？それとも…

次に差出人が使ったメールサーバーについて調べてみます。
それは、ソースの”Received”ってフィールドにサーバー自身が勝手に書き込んでくれます。
下の方にあるのが時系列が順に古いので一番下のが差出人が利用したと思われるサーバーの
もののはずです。

”A”の方が
from host-94-248-131-73.kabelnet.hu (host-94-248-131-73.kabelnet.hu [94.248.131.73])

”B”の方が
from dev125.net176.ip-net.sk (dev125.net176.ip-net.sk [46.227.176.125])

カッコ内に書かれているドメインと数字の羅列されたIPアドレスから紐解きます。

まず”A”の方が「kabelnet.hu [94.248.131.73]」と書かれていますね。
確かメールの差出人にあったメールアドレスが「joe@p2plive.net」でしたが
ここには「kabelnet.hu」なんて全然違うものが書かれています。
このIPアドレスについて調べてみると。

はるばるヨーロッパのハンガリーのチョルナって街から送られてきたんですね。

次に”Bです。
dev125.net176.ip-net.sk [46.227.176.125]と書かれていますね。
こちらも差出人にあった「swhitney7@gongshigongban.cn」ってアドレスとは似ても似つかぬ
全く違う「dev125.net176.ip-net.sk」なんてドメインが書かれています。
これも同じように追跡してみます。

こちらはハンガリーの隣国であるスロバキアからです。
ただ数ある国の中から同じヨーロッパで隣国って偶然でしょうか？…それとも…(汗)

今回は直接ビットコインを要求するものでメールには詐欺サイトへのリンクは
ありませんので調査はここまで。

これらのメールはサーバーでは宛先が見当たらず迷子になっていたメールです。
例えこれが私宛のアドレスに届いたとしても決して私は騙されません！
だって、私、アダルトサイトなんか見ないし(笑)
それに私の使ってるPCには強固なセキュリティーが施されていし(笑)
それ以前にウェブカメラなんて付いて無いしね(笑)