恐怖心をあおるフィッシング詐欺の巧妙なテクニック

クライアント様から、怪しげなメールが届いたので見て欲しいと連絡がありました。

ビットコインへの振り込め詐欺の可能性が非常に高いので、この記事に書いた内容が似たようなものか確認してみてください。

アカウントをハックした

client@domain.jp - this account has been hacked! Change your password xxxxxxxx right now!

最初にクライアント様のメールアドレスの記載があり、Change your password の後に書かれたパスワードは、実際にクライアント様が使い回しているパスワードが記載されているとのことでした。

記載されていたパスワードはメールのものではない

メールサーバーのログを確認したところ、メールアドレスのパスワードは別のものを使用していたこともありメールを盗み見されている痕跡はありませんでした。

 

メールの導入部分の脅し

I have very bad news for you.
06/08/2018 - on this day I hacked your operating system and got full access to your account client@domain.jp
On that day your account clientのdomain.jp password was: xxxxxxxx

要約すると、

お前のOSをハックしたから、フルアクセスできるようになったぞ。お前のアカウントとパスワードはこれだよな。

OSって?

ここで疑問に思わなければならないのが、OSってどこのことを言っているのだろう?ということ。

提示されたパスワードは身に覚えのあるパスワードらしいのですが、メールの送受信に使っているパスワードとは異なることから、OSとはメールサーバーのことではないことが判明しました。

塾長
サーバーを預かっている身としては一安心。

たとえメールアカウントが乗っ取られたとしても、OSがフルアクセスになることはまずありません。

なぜならば、システムアカウントとメールアカウントは全くの別物として構築しているからです。

 

今更パスワードを変更しても無駄だと追い詰める

It is useless to change the password, my malware intercepts it every time.

なるほど、

パスワードを変更してもマルウェアを仕込んでいるから筒抜けだ。

と逃げ道をふさいでいるわけです。

my malwareと書いた理由について

既知のマルウェア(悪意あるソフトウェアの総称)ではないので、ウィルスチェックソフトを使っても駆除できないと強調したい意図を感じます。

 

羞恥事情を暴露されるかもしれない恐怖

I made a screenshot of the intimate website where you have fun (you know what it is about, right?).
After that, I made a screenshot of your joys (using the camera of your device) and joined all together.
It turned out beautifully, do not doubt.

これ読むと、大抵の人はヤバいと思うでしょうね。

おまえが見ているエロサイトのスクリーンショットを作ったよ。何のこと言ってるか分かる?ハックしたおまえのOSのカメラを使っておまえの〇〇のスクリーンショットも加えたよ。これで完璧になった。疑うなよ。

この恐怖と危機をどうすれば回避できるのか?

自ずと、どうすればこの危機的状況を回避できるのか?と考え始めるのではないでしょうか?

 

メールの主からの提案(要求)

I am strongly belive that you would not like to show these pictures to your relatives, friends or colleagues.
I think $797 is a very small amount for my silence.

OSをフルアクセスできる状態であること前提なので、当然アドレス帳やメールのデータも分かっているといったところでしょう。

親戚や友人、同僚にこんな写真を見られたくないと俺だったら思う。
たったの$797で黙っておいてやるよ。

ところで、797ドルって中途半端な額は何でしょう?

塾長
泣くな(797)だったりして。

 

行動喚起 支払い方法を指定

I accept money only in Bitcoins.
My BTC wallet: 1Bu2NDQScJ

You do not know how to replenish a Bitcoin wallet?
In any search engine write "how to send money to btc wallet".
It's easier than send money to a credit card!

訳は乱暴に書いていますが、メールの原文の言葉遣いはものすごく丁寧であり、海外でよく使われるダイレクトメールの構成そのものなので、テンプレートを使ったものです。

受け取りはビットコインのみ。ビットコイン・ウォレットは「1Bu2NDQScJ」。ビットコイン・ウォレットの補充の仕方が分からない?「how to send money to btc wallet」で調べろ。クレジットカードで送金するよりも簡単だ!

次の展開は、制限時間だということが予想できます。

 

冷静さを奪う時間制限

For payment you have a little more than two days (exactly 50 hours).
Do not worry, the timer will start at the moment when you open this letter. Yes, yes .. it has already started!

予想通り、冷静さを奪う常套手段。時間制限です。

支払いまでの時間は2日とちょっと、正確には50時間。心配するな、タイマーはこのメールを開いた時からスタートしている。そう、そうだ。もうすでに始まっているということだ!

最後に、キャプチャーした写真やOSに仕込んだウィルスは支払い後に消去され、もし振り込みが確認できない場合は、デバイスをロックし写真をバラまくと書かれていました。

 

マーケターから観たフィッシングメール

メールのタイトルに、あなたのメールアドレスとあなたが使っているパスワードが書かれていたら、あなたはどうしますか?

他人事ではないと思わせるテクニック

たとえ英語で書かれていたとしても、受け手側のメールアドレスとパスワードを提示することによって、ひと事ではない内容のメールであることが理解できます。

そのため、メールの受信者の多くはメールの本文を読まずにはいられなくなります。

恐怖心を利用

今回の例では、OSを乗っ取ったことだけではなく、パスワードを変更しても無駄なこと、そして恥ずかしい写真を撮ったと告げられ、自己を防衛をしようとする本能が刺激されます。

回避策の提案

$797で危機的状況を回避できると提案し、行動喚起を促す。

時間的切迫感

時間的切迫感を演出して、確実に振り込ませるテクニックは、人の心理を上手く利用しています。

私のクライアント様は、振り込む前に私に相談してくれたので良かったのですが、相談しづらい内容のであっても相談をした。

つまり行動させたという意味では、凄くパワーのある内容のメールであったと言わざるを得ません。

 

サーバーエンジニアから観たフィッシングメール

知らない相手からメールが届くのも嫌なのに、身に覚えのあるパスワードが記されていたらどこから漏れたのだろう?

とエンジニア魂に火がつきます。

ただし、一般の人であれば侵入されていないことの裏付けを取るのが難しいので驚いてしまうことでしょう。

遠隔地から画面キャプチャーはできるのか?

遠隔地のPC等の画面をキャプチャーしたり、録画することは技術的には可能です。

ただし、物理的に接触できない機器をコントロールするには、いくつかの条件が揃っていなければ難しいと思います。

リモート操作の条件

その中の一つがリモートログインできること。

私に依頼してきた方は、PCやスマートフォンにも「メールの送り主が提示したパスワード」は使っていなかったことから、所持している機器のOSがフルアクセスされている可能性は低いと考えられます。

念の為、リモートログインできるか否かのチェックをしてみましたが不可であり、ウィルスチェックをかけてもらいましたがクリーンであったため、一種のフィッシング詐欺と判断しました。

 

メールとパスワードの流出はどこから?

となると、メールアドレスとパスワードたどこから流出したのか?という疑問が浮かびます。

この疑問は、ある程度、察しがついていて、いくつかのオンラインサービスから情報が流出したと思われます。

haveibeenpwned

情報が流出していると思われるメールアドレスをhaveibeenpwnedという流出チェックサイトで確認することで絞ることができます。

コメント

  • コメント (0)

  • トラックバックは利用できません。

  1. この記事へのコメントはありません。

CAPTCHA