迷惑メール報告

Security
2024.03.25

以前フィッシングメールをご紹介しましたが、今回はモロに脅迫メールが来ましたのでそのご紹介。

こういうのが届くと、どうしてもついついブログの肴にしたくなってしまいます。

メール本文

届いたのは2通で、全く同じ英文の文面です。以下が本文です。

mail1

(意訳)俺様はハッカー様だ。どうだ、恐れいったか。

ははー。ハッカーの方ですか。どうもご苦労様です。

mail2

(中略)

mail3

(意訳)2ヶ月程前にお前が見たエロサイトにウイルスを仕掛けておいた。お前(のPCやスマホ)は既に感染している。

なるほどそうですか。知らんかった。

mail4

(意訳)お前の恥ずかしい姿がスマホやPC内蔵のカメラで動画撮影されている。お前の見ていた変態エロ動画と一緒にだ。

おーっ、なるほど。気付かんかった。

mail5

(意訳)なのでビットコインで1490ドル分を振り込め。振込先は < 34桁の英数字 > だ。

ビットコインの口座は晒してもいいみたいですね。まあそうでないと振り込めないんだけど。

2通とも同じ口座番号でした。ここでは隠してあります。

もし当局の方がここを見ていらっしゃって、口座番号の詳細をお知りになりたい場合は「お問い合わせ」欄からご連絡ください。

mail6

(意訳)48時間以内に支払えば、取得したデータを消してウイルスも無効化してやる。本当だよ。

なーるほど。でも本当に消して貰えるのか、かなり怪しいなあ。

mail7

(意訳)さもなくばお前の連絡先名簿に載っている知り合いに、片っ端から動画を送りつけてばら撒くぞ。そうなればお前の社会的信用はガタ落ちだ。

やはり動画をばら撒かれると困りますねえ。

いや、でもその事をブログのネタに出来るのは逆に少し嬉しいかも。

mail8

(意訳)暗号通貨の買い方を親切にも教えてやろう。そのやり方は…(以下略)

なんか簡単そうに書かれていますな。取引所と販売所の違いとか気にしなくてもいいのかなあ。

mail9
mail10

(後略)

以上が本文です。

英語の読めない人には脅迫になっていないというツッコミは無しということで。

恐らく大量のメールアドレスを入手して、国籍関係なく不特定多数に送信しているのでしょう。

メールの送信元

メールの表示は私から私に送信したことになっています。返信用アドレスも私で、この3者は全く同じアドレスです。当然送信元アドレスは偽装です。

そこでメールヘッダを調べてみます。

header

ヘッダで送信元のIPアドレスを調べると送信元メールサーバーはアルゼンチンにあります。

censys1

もう1通の方はスリランカのサーバーから送信されています。

censys2

<いずれもCensysより>

SPF/DKIMの認証情報はありません。そもそも本文は平文で、暗号化もされていません。

2通とも送信サーバーのIPは偽装と思われます。

ビットコインの口座番号が同じなので、2通は同じグループ(或いはその下請け)の仕業でしょう。

2通の送信時間には34時間のズレがありました。(48時間の猶予なのに34時間のズレって…)

メールの宛先について

私の持つメールアドレスのうち、今回宛先となったアドレスは仕事用のメールアドレスです。

なのでアカウント登録には殆ど使用しないし、このアドレスを知っているのも取引先だけです。

思い当たるとすれば、2年前に一度、取引先の1つが ” emotet ” に感染して、そこからウイルスメールが送られてきたことがあります。(Mac上なので感染はしませんでしたが)

今回はその時に流失したアドレスを、裏ルートで犯人が入手したのかもしれません。

その後の経過

お金を払わずに48時間経過しましたが今の所、私の写った動画が届いたとの、知り合いからの連絡はまだありません。

あれば喜んで続報しますね。

余談

余談ですが、普段から私のPCやタブレット・スマホのインナーカメラにはシールで目隠しがされています。

Web会議の時のみ外しています。(これが結構面倒ですけど)

以前、映画「スノーデン」を見てから、ずっとそうしています。

こんな感じ。

macbook air
ipad

この件、ウチの総師長から見られる度に(しょうもないことをしていると)いつもバカにされ笑われてます。はい。^_^

<PR>

映画では38分、46分あたりに該当のシーンが出てきます。

追加

その1

2024年4月28日追加 ほぼ同じ内容のメールが同じメールアドレス宛に届きました。

  • メールは2通。AM3:10とAM7:01に着信。
  • 送信元は自分自身のアドレス(に偽装)
  • 要求金額は$1,390分をビットコインで。
  • ビットコインの口座番号は2通同じ。但し前回の2通とは別。
  • 支払いまでの猶予時間派48時間。
  • メールサーバーの位置はペルーのリマとコロンビアのボゴタ(いずれも偽装と思われます)
  • メールは暗号化されておらず平文。
  • 着信アドレスは、取引先がemotetに感染した時に漏出したと思われる仕事用のアドレス。

その2

2024年11月9日 また似たようなメールが届きました。以下はその文面

メールサーバーはニュージーランドのハミルトン(おそらく偽装と思われます。)

コメント

タイトルとURLをコピーしました