『詐欺メール』「重要なニュース」と、来た件

嘘ですよ～全部嘘！

サーバーのメールチェックで「重要なニュース」って件名のメールを発見。
いったいどんな重要なニュースなんだろうか？と思って早速開けてみると
例の「アダルトハッキングメール」です。
受け取ったのは、ドメインは正しいけど”@”の前のアカウントが実在しないもの。
こんなアドレスに何を送られてきても全く平気(笑)

中身は、いつものアダルトハッキングメールと全く同じで、卑猥なシーンをリモートで
撮影したのでそれをバラされたくなければ仮想通貨を払えというもの。

件名は「[spam] 重要なニュース」
うちのサーバーに悪意があること見破られてるんで付けられた“[spam]”スタンプ。
これが付いてるメールは見なくてポイです(笑)

差出人は何と宛先と同じメールアドレスになっていました。
もちろんここは簡単に偽装できる箇所なので全くあてにできません。

そんな時はメールのヘッダーソースを表示させ解析を行います。
この中で重要なのはいくつかある”Received”フィールドの最下段の物。
これは差出人が利用したメールサーバー自身が残したホスト情報です。

Received: from BSN-176-203-53.dynamic.siol.net (BSN-176-203-53.dynamic.siol.net [95.176.203.53])

ここにある4つのセグメントに区切られた数字の羅列は、そのホストのIPアドレス。
これを調べることで、そのホストの位置情報をおおよそ知ることができます。
その前にあるドメインが、おそらくそのサーバーに割り当てられたもの。
それがこのIPとドメイン。

”95.176.203.53”

”dynamic.siol.net ”

これらを少し調査します。

スロベニアが表示されました。
このIPアドレスは現在スロベニアにあるようです。

ということはあのメールは、スロベニアのサーバーを介して送られてきたことになりますね！

ワードサラダが隠れてた！

一見このメール、プレーンテキストで書かれているように見えましたが実はHTML。
何気なくこのメールの表示をHTMLからTEXTに切り替えたところあぶりだしのように
このような画面になりました。

わけわからんでしょ？
これ、ワードサラダ。
こうやってサーバーを混乱させてセキュリティーを突破しようとしているんです。
悪意があるからこういうことをしなければならなくなるんです！
まぁそこまでしてもしっかり”[spam]”付けられてますが(笑)