『詐欺メール』「貴方のデバイスにハッカーがアクセスしています。詳細を今すぐ確認してください！」と、来た件

「乗っ取った」と嘘ネタで脅す手口

受信箱に件名に”[spam]”(スパム)スタンプの付記されたメールが4通。
楽天を騙るものが2通、そして久々にアダルトハッキングメール2通が到着。

今回は、このアダルトハッキングメールにスポットを当てて調査してみようと思います。

本文の内容はこんな感じ。

文字ばかりで改行の無いメールってこんなに読みにくいものなんですね(^^;
アダルトハッキングメールは、”トロイの木馬”と呼ばれるウイルスをに感染させデバイスを
乗っ取り、マイクやカメラを使いアダルトサイト閲覧中の様子を録画したと嘘のネタを
使って受信者を脅しビットコインを要求するというものです。

今回のメールは、流暢に日本語を使って書かれていますが、過去には英語原文のまま
送られてくるメールもありました。

当然ながら2通とも同じサーバーからだった

2通とも件名は

「[spam] 貴方のデバイスにハッカーがアクセスしています。
　　　　　　　　　　　詳細を今すぐ確認してください！」

この2通の差出人は、一方が「amnoyn@freesulf.de」
調べてみると、存在しないドメインのようなのででたらめに入力したものと思われます。

そしてもう一方が、「gameshacker@deplanet.ch」
こちらもでたらめのようですね。

ご存じの通り、件名は誰でも嘘を書いて送ることができます。
そしてこのように差出人項もちょっとした知識があれば簡単に偽装することができます。
メールには、その経路やそれぞれのホストサーバーなどの情報が記載されたヘッダーソースと
呼ばれる記述が添付されています。
その中には差出人や受取人の利用するメールサーバーの情報が記載されてる”Received”と
言う項目があります。
ここを調べることで、そのサーバーの利用しているIPアドレスを知ることができ、その
IPアドレスを利用してそのおおよその所在地を確認することも可能。

この2通の”Received”を見てみると、どちらも同じIPアドレス。
まぁ、件名も内容も同じなんで当たり前と言えば当たり前なんですが(^^;
その差出人が使った送信サーバーの”Received”がコレ。

IPアドレスは”203.150.120.156”で”sta.inet.co.th”ってドメインが割り当てられている
ようですね。

発信元は”タイ王国”だった

では、早速このドメインとIPアドレスについて調べてみましょう！

とあるサイトでIPアドレスを検索してみた結果がこちら。

上から見ていきます。
このIPアドレスに割り当てられてるドメインはやはり”sta.inet.co.th”で間違いありません。
そして、そのIPアドレスの割り当て国は”タイ王国”

下段の水色背景に書かれているのが、ドメインの申請情報。
”Country: TH”と書かれているので、こちらも”タイ”のようですが、それ以外の部分は
”Personal Information”と書かれていますが、これを訳すと”個人情報”となるのでこれらの
項目はプライバシー保護されているようですね。

そして”タイ王国”と出てたこのIPアドレスのおおよその所在地は？！…

首都バンコックから南東に約80km、”チョンブリ”って街に設置されたメールサーバーから
送られてきたようです。

ワードサラダ付き

今回の調査はここまで。
あっ、そうそう忘れるところでした(^^;

このメール、テキストメールだと思ったら、実は「ワードサラダ」が隠されていました。

これ、”HTML形式”で書かれているこのメールを”テキスト形式”に表示を切り替えてみた
様子です。

意味の無い記号や数字の羅列は、サーバーにある迷惑メールフィルターを混乱させて
通過させようとする試みなんですが、冒頭でご覧いただいた通り件名にしっかり”[spam]”
とスタンプが押されていましたのでその行為は成就しませんでしたね(笑)

皆さんもスキルアップして迷惑メールや詐欺メールに備えましょう！！