『詐欺メール』「こんにちは〜！」と、来た件

差出人の”hotmail.com”は嘘

陽気なテンションで「こんにちは～！」と送られてきたのは、自称プログラマーと言う
偽ハッカーから(笑)

内容は、アダルトハッキングメール。
要は、トロイの木馬と言うマルウェアに感染させデバイスのフルコントロールを獲得し
デバイス内の情報やの取得や、アダルトサイトを見ながら自慰行為をしている姿をデバイスの
カメラとマイクを使い動画を保存したと。
それらの動画をデバイス内にあるアドレスに拡散されたくなければ、45時間以内に19万円
相当の仮装通貨をビットコインを利用して支払えと言うもの。

件名は
「[spam] こんにちは〜！」
ハイテンションですね。ラテンのノリですか？　それともやっちゃってます？(笑)
”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いているものは
全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。

差出人は
「"こんにちは" <sumire_hanasigure@hotmail.com>」
差出人名まで「こんにちは」ですか…よっぽど能天気ですな。。。
メールドメインの”hotmail.com”は、Microsoft社が運営するフリーメールのドメインですね。
ま、これも偽装の可能性もあり当てにはなりません。

では、このメールのヘッダソースを確認し調査してみます。
ソースから抜き出した「フィールド御三家」がこちらです。

自称ハッカーさんは中国からメールを送った？！

では、このIPアドレスを使ってそのサーバーの位置情報を拾ってみましょう！

表示されているのは「中国 江西省 吉安市 吉州区」と出ています。
あくまでおおよその位置ですが、この自称ハッカーさんは、この位置に設置された
メールサーバーを介してメール配信を行っているようです。

ついでですが、先程のヘッダーソースにある”Return-Path”などで見かけたドメイン”yay.org”
偽装かも知れませんが一応サラッと調べてみました。

逆引きすると割当ててるIPアドレスは”3.33.152.147”と分かりました。
このIPアドレスを使い持ち主などを調べると…

持ち主は「アメリカ・ネバダ州・レノ」の方のようです。
”Registrant Organization: Amazon Technologies, Inc.”とあるので、このドメインの管理は
アマゾンに委託されているようです。

あくまで偽装の可能性も頭に入れておいてください。

まとめ

アダルトハッキングメールには、リンクなどないので不完全燃焼ながら調査はこれで終わり。
メールに書かれているようなフルアクセスコントロールなんて現実的に難しいと思います。
逆に端から嘘だと思って読んでみてください。
また違った面白さが見えてくきます！(笑)

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;