フィッシングメール:BitCoin送れだって

久しぶりに、迷惑メールフィルターをすり抜けてきたフィッシングメールが届きましたので、さらします。

今朝、メールチェックをしてみると、以下の詐欺メールが届いていました。

初めまして!

残念なお知らせをするために、ご連絡を差し上げております。
僕は、約2〜3ヶ月前にネット閲覧用に貴方が利用しているデバイスにアクセスし、その後ずっとネット行動を追跡していました。

アクセスするまでの経緯は、
少し前にハッカーからメールアカウントへのアクセスを購入したからです(最近では、そういったものをネット上で購入するのは、かなり単純です)。
だから、貴方のメールアカウント (my_email_addr@nifty.ne.jp)にも簡単にログインができました。

ログインの1週間後には、既にトロイの木馬というマルウェアを、貴方のメールと繋がっている全てのデバイスのオペレーティングシステムにインストールしました。
実際、やってみると全く難しくありませんでしたよ。(受信トレイのメールのリンクを何も問題なくたどっていただき、ありがとうございました。)
巧妙な手口は意外と全て単純なのです。(^ ^)

そのソフトウェアによって、貴方のデバイスの操作を全て可能になりました(例えば、マイク、ビデオカメラ、キーボードの操作)。
既に、貴方の個人情報、データ、写真、ウェブ閲覧履歴を僕のサーバーにダウンロードし保存してあります。
貴方のメッセンジャー、SNS、メール、チャット履歴、連絡先一覧の全てにも僕はアクセス済みです。
僕のウイルスはドライバレベルで動作し署名を継続的に更新するため、ウイルス対策ソフトウェアでは検知されません。

同様に、この手紙がなぜウイルス対策のソフトウェアに検出されなかったのかの理由も、今ではご理解いただけていると思います・・・

貴方の情報を収集している間に、貴方はアダルトサイトの大ファンだということを発見しました。
ポルノサイトを訪問して、とてつもない快楽に耐えながら、興奮するような動画を閲覧するのが本当にお好きなようですね。
偶然にも、貴方の卑猥なシーンを録画することに成功したので、貴方の自慰行為と絶頂に達する姿を見せるような動画数本をモンタージュにしました。

もし嘘だと思うのであれば、僕のマウスを数回クリックするだけで、全ての動画が貴方の友人、同僚や親戚とシェアできることを実現いたしましょう。
僕的には、パブリックアクセスにしてしまっても問題はありません。
貴方の好きな動画の趣向を考慮しても、そんな動画を公にされたくはないはずです。(僕の言いたいことは分かるでしょう)公になったら、本当の大惨事になるかもしれませんね。

なので、ここで取引をしましょう。
16万円 (送金時の為替レートに応じたビットコイン相当額)を僕に送金してください。送金を受け取ると、この卑猥な動画は全て削除しましょう。
その後は、お互いのことは綺麗さっぱり忘れてしまい、貴方のデバイスにある有害なソフトウェアの機能を停止して削除することを約束します。僕は言ったことは守ります。

僕が貴方のプロフィールとトラフィックをしばらくチェックしていることを考えると、これは公正な取引であり、かなり安価なはずです。
ビットコインの購入、送金方法が分からない場合は、どのサーチエンジンで検索しても方法は知ることができます。

僕のビットコインウォレットは 12XpVk5cgxasf6eVtCMQ9AoMWPKUyvbLas です。

このメールを開けた瞬間から48時間(正確には2日間)の猶予を与えましょう。

下記の行為をするのはやめてください。
*僕に返信すること。(貴方の受信ボックス内でこのメールを作成し、返信アドレスも作成したからです。)
*警察や他のセキュリティサービスと連絡を取ろうとすること。さらに、自分の友人に相談するのもやめてください。もし口外していることを僕が感知すると、貴方の動画は公開されます。
(僕は貴方のシステムの全てをコントロールしているので、感知するのはそう難しくないと思いますよ。) 
*僕を探そうとすること。すべての仮想通貨取引は匿名で行われるため、絶対に無意味です。
*デバイスにOSを再インストールしたり、破棄したりすること。全てのビデオが既にリモートサーバーに保存されているので、この行為も無意味です。

下記は貴方が心配しなくても良いことです。
*僕が送金を受け取れないかもしれないこと。
- すべての行動を継続的に追跡しているので、送金が完了するとすぐに表示されるため、安心してください。(僕のトロイの木馬マルウェアは、TeamViewerのようなリモートコントロール機能を搭載しています。)
*貴方が送金を完了しても僕が貴方の動画をシェアするかもしれないこと。
- 僕を信頼してください。貴方の人生をもっとややこしくするつもりはないし、シェアしたいだけなら、この手紙を送らずに行っているはずです!

全ては公正に行いましょう!

あと、もう一つ・・・将来的にも同じような状況に引っかからないで下さいね!
僕からの警告は、頻繁にパスワードを変更し続けることです!

いつもの、受信者の不安をあおる文面が書かれています。二段階認証を行っていれば、メールアカウントを入手しただけで、ログインするのは無理。
こんなメールは無視無視。

それにしても、迷惑メールフィールターを通り抜けて、受信ボックスに入っていたのが不思議でした。メールのソースコードを見てみたところ、理解出来ました。

こんな感じで、メッセージを全部文字コードに置き換えて送ってきていました。

Subject: 口座からのお支払い
Date: Sun, 28 Mar 2021 18:18:43 -0400
From: <k0123@mail.kbn.ne.jp>
To: <my_email_addr@nifty.ne.jp>
X-Mailer: Microsoft Office Outlook 12.0 &#21021;&#12417;&#12414;&#12375;&#12390;&#65281;&#27531;&#24565;&#12394;&#12362;&#30693;&#12425;&#12379;&#12434;&#12377;&#12427;&#12383;&#12417;&#12395;&#12289;&#12372;&#36899;&#32097;&#12434;&#24046;&#12375;&#19978;&#12370;&#12390;&#12362;&#12426;&#12414;&#12377;&#12290;&#20693;&#12399;&#12289;&#32004;&#65298;&#12316;&#65299;&#12534;&#26376;&#21069;&#12395;&#12493;&#12483;&#12488;&#38322;&#35239;&#29992;&#12395;&#36020;&#26041;&#12364;&#21033;&#29992;&#12375;&#12390;&#12356;&#12427;&#12487;&#12496;&#12452;&#12473;&#12395;&

確かに、これじゃあメール本文での詐欺メールかどうかの判断は難しい。

次にどこから送ってきたか?
送信元は当然詐称アドレスなので意味がありません。しかし、送信元IPアドレスは偽装できません。
しかし、そこも考えていたようで、足が付くことを恐れて、ウルグアイのダイヤルアップアクセスポイントに接続してOutlookから送ってきたようです。

Return-Path: k0123@mail.kbn.ne.jp
Received: by conbox-081 id 6061347715aa48; Mon, 29 Mar 2021 10:59:19 +0900
Received: from concspmx7-03 (concspmx7-03.nifty.com [172.26.8.143]) by conbox-081.nifty.com (Postfix) with ESMTP id 80FE044006F for <honda.takashi@nifty.ne.jp>; Mon, 29 Mar 2021 10:59:19 +0900 (JST)
Authentication-Results: nifty.com; spf=none  smtp.mailfrom=k0123@mail.kbn.ne.jp; dkim=none; dkim-adsp=none; dmarc=none header.from=mail.kbn.ne.jp p=neutral
Received: from r179-28-195-42.dialup.mobile.ancel.net.uy ([179.28.195.42]) by niftygreeting with ESMTP id QhA6lCAq5eTGeQhATlO7FE; Mon, 29 Mar 2021 10:59:19 +0900
X-Nifty-SrcIP: [179.28.195.42]
From: <k0123@mail.kbn.ne.jp>
To: <my_email_addr@nifty.ne.jp>
Subject: 口座からのお支払い
Date: Sun, 28 Mar 2021 18:18:43 -0400
Message-ID: <004401d72425$04140e7a$cec693ab$@mail.kbn.ne.jp>
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_NextPart_000_0041_01D72425.0412DFB3"
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: Aclm46k541448a5jlm46k541448a5j==
Content-Language: en
x-cr-hashedpuzzle: 2D4= n2b2 baad vq5g f0n2 b2ba advq 5gf0 n2b2 de00 4f6x 0nap yvv0 i64y 6bk2 60yv;1;v0i64y6bk260yvv0i64y6bk260yvv0i64y6bk260yvv0i64y;Sosha1_v1;7;¥{AF9278E4-9945-0E05-38D2-4E33EFAF7266¥};ZQB3AGUAZg60yvv0i64y6bk260yvv0i64y6bk260yvv0i64y;28 Mar 2021 18:18:43 -0400;jos1174qy8l394jb
x-cr-puzzleid: ¥{AF9278E4-9945-0E05-38D2-4E33EFAF7266¥}
X-CMAE-Envelope: MS4xfOQvp9D2F4VO3LX1kV2dAE9OvZjb/aBihrQrf9kGDojVCCTltiNGeMeF10WaT1AuTY4QtPkDHacS8M4ts06i/U3J3W8uG5sdlr9rcwjSrQflSFbQxkU0 SkKpku5ADMUdnM3K6NrdelLtMlCIe8TM5h8fmjAldJ/vpuODtg9iF3QVxT8/0Ilsfix2M7nppd1hIJoTj6uNgyBDIZsgwx4OswY6kTZfma6bcRIL2FpCgE15

一人一人にカスタマイズしたメッセージなので、犯人は多少ランニングコストを支払って、送ってきたようです。今どき珍しい。
これだと、民間レベルでは犯人にたどり着くのは難しいかもしれません。
ただし、プロバイダーはログイン記録を残しているはずだし、電話会社も課金のために記録を取っているわけですから、警察レベルならある程度の追跡はできるでしょうね。ここまで考えてやるんだから、プリペイド電話を使って、アナログモデムでダイヤルアップしていているかもしれませんが。

と、思っていたら、このメモを書いた後、同じ内容のフィッシングメールが2通届きました。
送信元IPアドレスをチェックしてみたら、パキスタンとギリシア。ということは、ウルグアイのIPアドレスは、単純に踏み台にされただけのようです。
ボットウィルスに感染させたPCを踏み台にしているみたいです。

これ以上、関わっても時間の浪費なので、「メール本文に日本語が一文字も入っていない」場合は、ゴミ箱行きと、フィルターを書いて終わりにしましょう。

検索してみたら、この詐欺メッセージはたくさん登録されていますね。メールを受信して不安な場合は、以下のURLを参考にすれば良さそうです。

https://www.police.pref.fukuoka.jp/seian/cyber/soudan_jirei/kyouhakumail.html

コメントを残す