画像やリンクが無効になっている可能性もあるのでご了承下さい。
以前にもウェブカメラやらハックしてお楽しみの所をキャプチャーしたからバラされたくなければ云々というスパムメールが届いていた。
今回届いたスパムメールも上記記事と同様にしてどこかのタイミングで何かしらから流出したデータベースを元に送信された物と見て良いだろう。
今回届いた文面がこちら。ドメイン名は example.com に書き換えてローカルパートも適当に書き換え。不要なところはアスタリスクでマスクしているのでご了承を。
”Your password for” に続くメールアドレスに続きパスワードが書かれていたが、これは実際に筆者が過去にどこかで使っていたその物だった。
Hi, dear user of example.com
We have installed one RAT software into you device.
For this moment your email account is hacked (see on , I messaged you from your account).
Your password for username@example.com: *********
I have downloaded all confidential information from your system and I got some more evidence.
The most interesting moment that I have discovered are videos records where you masturbating.
I posted my virus on porn site, and then you installed it on your operation system.
When you clicked the button Play on porn video, at that moment my trojan was downloaded to your device.
After installation, your front camera shoots video every time you masturbate, in addition, the software is synchronized with the video you choose.
For the moment, the software has collected all your contact information from social networks and email addresses.
If you need to erase all of your collected data, send me $800 in BTC (crypto currency).
This is my Bitcoin wallet: **************************************
You have 48 hours after reading this letter.
After your transaction I will erase all your data.
Otherwise, I will send video with your pranks to all your colleagues and friends!!!
And henceforth be more careful!
Please visit only secure sites!
Bye!
メールアカウントをハックしたと申している根拠に From のアドレスを見ろと言っているが、これはどうとでも書き換えることは可能なので非常に弱いお話し。
該当するスパムメールのヘッダを見るとこうして Received が記録されいてる。例によって筆者管理のホスト名は example.com に書き換えてペタリ。
Received: from static.vnpt.vn (unknown [14.229.193.233])
by mx.example.com (Postfix) with ESMTP id EEE691B28A
for ; Thu, 4 Oct 2018 12:13:36 +0900 (JST)
それならこの送信者は実際にどうやってメールを送ってきたのかと判断するならサーバー側のログも一行だけ読んで上げる。
Oct 4 12:13:36 hoge postfix/smtpd[11010]: EEE691B28A: client=unknown[14.229.193.233]
大体ハックしてるならメールサーバーにログインした上で送ればそれこそ脅威になるんだけどそう言う形跡は無くて、これは他のメールサーバーを経由して来たメールとなる。
その理由は筆者運用のメールサーバー (MTA) にログインするにはまず認証が必要。上記ログ client= の次に sasl_method ときて sasl_username が必要になり、特定の暗号方式でパスワードを送信する必要があるがそれが無い為だ。
この事を根拠として本記事のようなメールは流出したメールアドレスとパスワードを対にして表示する事で閲覧者を驚かせ、Bitcoin をだまし取ろうと言うスパムメールだねと言う事で完結出来た。
「どうせアレだろう」で済ませずに自分なりの根拠付けをして結論づけないとなんか気持ちが悪いのでこう言う記事としてみた。結局アレだったなで終わったが。
例によって騙されて Bitcoin を支払ってしまうと言う事はない様に気を付けましょう。
コメント