本日、私の @nifty アカウントに届いたフィッシングメッセージ。
初めまして! まずは自己紹介から。私は専門ハッカーをしており、あなたのオペレーションシステムのハッキングに成功しました。 今現在、あなたのアカウントに対する完全なアクセス権を私は入手しています。 さらに、秘密裏に過去数カ月間、あなたの行動を監視し続けてきました。 あなたのパソコンがアダルト動画を含むサイトに訪問した際にスパイウェアに感染したことが発端です。 この感染による影響について少し説明いたします。トロイの木馬というマルウェアによって、私はあなたのパソコンだけでなく、あなたが所持している他のデバイスにも無制限にアクセスできます。 言い換えると、あなたのデバイスの画面上に映っているものを私は制限なく見ることができ、しかも好きな時にあなたに気づかれずに、あなたのデバイスのカメラとマイクをオンにすることもできるということです。 さらに、私はあなたのメールやチャットの履歴など個人情報を含む機密データも全て閲覧することができています。 当然ながら、なぜウイルス対策ソフトが私のマルウェアを検知できなかったのか、あなたは困惑していることでしょう。 その理由は、私のマルウェアはドライバを通して感染する仕組みになっているからです。私のソフトは4時間毎に署名を書き換えるので、ウイルス対策ソフトでは認識できないようになっているのです。 画面の左側であなたが一生懸命自慰行為を行い、その右側では、その時にあなたが視聴していたエッチな動画を並べて表示するような動画を作成しました。(*^▽^*) 私が数回マウスをクリックするだけで、あなたのメールリストに登録されている連絡先やPC、それに他のデバイスに保存されているSNSの連絡先全員にこの動画が届くことはお見知りおきください。 それだけではなく、あなたのメールの内容やチャット履歴を公開することも簡単です。 そんなことは起きて欲しくないはずでしょう。 ならば、その解決策を提案します。私のビットコインのアカウントに$1750[USD]相当のビットコインを送金してください。(送金方法は難しくないですし、利用したことがなくても、分かりやすい説明がオンライン上にはあります。) 私のビットコインアカウント(ビットコインウォレット)の詳細は、以下のとおりです。: bc1q04zpeytu5gd6fj2xtqv4ktv44xd77tvp560909 上記でお伝えした金額が私のアカウントに送金されると、私はあなたの卑猥な動画を全て削除し、あなたの前から姿も消します。 50時間以内(2日間)にこの支払いを済ませてください。 このメールが開封された時点で私の元に通知が届き、支払いのカウントダウンが始まります。 私は用心深い人です。プロ意識を持ち一度もミスをしたことがありません。 このメッセージをあなたが誰かと共有したことを私が感知すると、あなたのプライベートな動画を一瞬にして公開します。 よろしくお願いします。
ここでもクソ中国人。うざい。
つづいて、このクズ野郎のメールヘッダー情報。
Return-Path: <info@gopouanzu.com> Received: from ifmta1003.nifty.com by ibmta1003.nifty.com with ESMTP id <20231116190217214.MKBS.12009.ifmta1003.nifty.com@nifty.com> for <dummy@nifty.com>; Fri, 17 Nov 2023 04:02:17 +0900 Received: from smtp2.gopouanzu.com([45.80.193.193]) by ifmta1003.nifty.com with ESMTP id <20231116190216891.DJMK.10129.smtp2.gopouanzu.com@nifty.com> for <dummy@nifty.com>; Fri, 17 Nov 2023 04:02:16 +0900 Authentication-Results: nifty.com; spf=pass smtp.mailfrom=info@gopouanzu.com; sender-id=pass header.From=info@gopouanzu.com; dkim=pass header.i=info@gopouanzu.com; dkim-adsp=pass header.from=info@gopouanzu.com DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=mail; d=gopouanzu.com; h=Message-ID:From:To:Subject:Date:MIME-Version:Content-Type; i=info@gopouanzu.com; bh=CK/lzqu2HlLUvSURGeYKAgv1nWqIJ7PXNrVSPBDSSB8=; b=OQWBKTiTMdb7kkjN3rECLZ2mB0Y55yYSeG2H/7JtyR4gbv38oE04pZjXTBVph1C7UFyca/1DtfHA bhQ3QvTXzlWp7B3V2e2644EAjpEgvDkUrvaF745JabllEYRlWx+AuiZOOPBar5eMA7PDz6l687MZ bdSiCB7upGfRSjsz7/Y= Message-ID: <20231114222042074457@gopouanzu.com> From: 個人情報 <info@gopouanzu.com> To: <dummy@nifty.com> Subject: 不正アクセスにより、あなたの個人情報が流 出しています Date: Tue, 14 Nov 2023 22:20:35 -0800
送信元メールサーバーは実名で、smtp2.gopouanzu.com なので、正式なものでしょう。
そうすると、興味深いのが Received: ヘッダーが2つしかないこと。smtpサーバーは、メールを中継した時点で自動的に received ヘッダーを付けるので、一番上の received は、@nifty のメールサーバーが受信した時点のもの。3行目のreceived が、スマートフォンやPCを使ったメーラーから送信されたもののはずですが、そうなっていない。
つまり、smtp2.gopouanzu.com 上で直接フィッシングメッセージを作ったということになります。別の書き方をすると、迷惑メール送信用にレンタルされたものってこと。
IPアドレスは、所有者(普通はまっとうなプロバイダー)から借りるしかないので、所有権を確認してみると、
role: Kuroit NOC address: 71-75 Shelton St, Covent Garden, London WC2H 9JQ, United Kingdom nic-hdl: KN3168-RIPE mnt-by: KUROIT-MNT
イギリスのようです。それならタイムゾーンは、+0000 となるべきところが、アメリカ西海岸の -0800。
次に、 gopouanzu.com というドメインを whois で検索してみると、.bs と バハマで取得されたドメイン。
Domain Name: GOPOUANZU.COM Registry Domain ID: 2759977809_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.internet.bs Registrar URL: http://www.internet.bs Updated Date: 2023-03-13T05:28:09Z Creation Date: 2023-02-21T03:38:12Z Registry Expiry Date: 2024-02-21T03:38:12Z Registrar: Internet Domain Service BS Corp Registrar IANA ID: 2487 Registrar Abuse Contact Email: abuse@internet.bs Registrar Abuse Contact Phone: +1.5163015301 Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Name Server: DNS10.HICHINA.COM Name Server: DNS28.HICHINA.COM Name Server: DNS29.HICHINA.COM Name Server: DNS30.HICHINA.COM Name Server: DNS9.HICHINA.COM
さらに、ネームサーバーが、HiChina.com と連結されている。つまり、中国人が海外拠点を犯罪に利用する場合のインフラ利用ってこと。サーバーとドメインはわかっているので、警察力があれば、契約者までたどれるでしょう。仮に、盗んだクレジットカード情報を使っているとしても、プロバイダーの協力があれば、通信ログから送信者までたどれる。
想像するに、アメリカ西海岸にいる中国人が、英国のVPSを借りて、一つのテンプレートを使って、メール乱れ打ちしたものが、偶然、私の迷惑メールフィルターを通過したゴミ ってことのようです。
私の場合は、さらして終了。