ロイドベンチャーシステム雑記<ロイドの日記>

弊社「株式会社ロイドベンチャーシステム」は、千葉県(主に南房総地域)でパソコンの何でも屋をしています。

南房総市内のコンビニで、プリカ詐欺にかかったご老人を説得

2021-09-06 18:52:48 | ウィルスその他
本日(9/6)17:00頃
プリカ詐欺の現場にたまたま居合わせました。



立ち寄ったローソン 南房総岩井海岸店でのこと
「App Store & iTunesギフトカード」を手にした挙動不審なご老人が。

余計なお世話かも?と思いつつ、店員さんを含めお話を聞いたところPCの修理に必用と電話で言われたとのこと。


画面の電話番号にかけたら日本語たどたどしい人が通話に出て、作業費としてギフトカードを1万円請求されたそうです。

お聞きしたら既にその「App Store & iTunesギフトカード」1万円分の記載番号は相手に伝えてあるとのこと。
更に3万円が必要と言われて買いに来ていたところでした。


「それ典型的なサポート詐欺です!」

説得しましたが、なかなか理解していただけず。


なお、居合わせたタイミング的に逆に不信感を与えてもいけませんし、
この時点では弊社に対応依頼があったわけではなかったので、
私の名前と会社名は名乗っていません。



とりあえず下記をお勧めしましたが、どうなったやら。



1.証拠を残す

 ・画面の写真を撮る!
 ・1万円のレシートとギフトカードを保管
 ・だいたいの時系列でよいのでメモを残す

 スマホなどなら、通話履歴のスクリーンショットもしておくと良いでしょうね。
 できればですが。


2.警察に被害届を

 1万円は多分帰ってこないでしょうけれど、
 怖いのは、相手に個人情報を教えてしまったことです。
 こっちから電話をかけて、聞かれるままに名乗ったらしいので。

 ・電話番号(着信履歴から確実に)
 ・名前
 ・住所
 ・他にも伝えた可能性のある情報:性別・年齢・生年月日とか

 ヘタをすると、更に請求の電話や、最悪訪問!があるかもしれません。
 せめて警察の記録に残るようにしておくべきでしょう

 個人情報関連ですが
  「本人確認の為に、クレジットカード番号を」
 なんて例もあるそうですね。
 前述個人情報と組み合わせれば、偽造カードを作られる可能性があります。
 まあ、今回は多分クレジットカード番号は大丈夫でしょうけれど。



3.パソコンに堪能な人もしくは市役所に相談を

 今回は「サポート詐欺」でしょうから、親切を装ったリモートコントロールを受け入れているかもしれません。
 そうであったならウィルス類を仕込まれた可能性もあります。

 【参考】マイクロソフトのサポートを装った詐欺にご注意ください
  https://news.microsoft.com/ja-jp/2021/01/29/210129-information/

 パソコンに堪能な知人がいればよし。
 そうでないなら市役所にご相談を。

 市役所の方が対応できればよし。
 そうでないなら、市役所に出入りできる信頼できる業者(例:入札参加資格をもった業者)を紹介してもらうのがいいでしょう。


-------


私たちコンピュータ業者は、作業費をプリペイドカードやギフトカードで請求することは普通しません。

「プリペイドカードを買ってきて」は詐欺です。
 【参考】国民生活センター
 「プリカ詐欺に注意!


買った覚えのないセキュリティソフトが「ウイルスに感染しています」は詐欺です!
恐怖をあおる画面を出してきますが詐欺です!
有名どころのセキュリティソフトを導入してあれば、ソレがメッセージを出していないなら偽物の可能性が高いと判断できます。
感染予防だけでなく、真偽判断の要素とするためにも、有名どころのセキュリティソフトを入れておくべきなのです。



「アダルトサイトへの登録ありがとうございます」が何度も表示は詐欺です!
後ろめたい画面がでても、ほとんどは詐欺です!

 参考弊社過去記事
  振込詐欺請求画面を対処:有名フォルダにショートカットで偽装が





とにかく、画面に 「〇〇です 電話してください」が出たら詐欺を疑って!
・そこに電話しない!
・信頼できる人に相談する!


これを守ってください。


Amazonからのアカウント確認メール > アカウント盗む偽物を疑おう

2019-02-27 16:14:33 | ウィルスその他
本日(2/27)、こんなメールがきました。




差出人:Amazon.co.jp

 ただし、メールヘッダーの中継サーバ情報を辿るとAmazonから発信されたものではないと推測されますが。


件名:[アカウントロック]Amazon.co.jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認


本文:
===============
Аmazon お客様

残念ながら、あなたのアカウント

Аmazon を更新できませんでした。
これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため

Аmazon 情報を確認する必要・ェあります。今アカウントを確認できます。

Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に遺憾ながら、アカウントをロックさせていただくことを警告いたします。

パスワードを変更した覚えがない場合は、至急(03)-5757-5252までお電話ください。


お知らせ:
パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。 >
Аmazon


===============


怪しい日本語文に関しては、ここでは放置。(それを指摘すると、文面を修正するかもしれないので)



さて重要な、ログインをさせようとする画面に関して。

Аmazon ログイン部分のリンクは下記でした。

  http://www、amazon、co、jp、services-co、ga/

(間違って開く人がでないように、上記URLのドット部分を、全角読点にしております。)



このURLには個人を見分けるパラメータがないようだったので、aguse.jp で確認を行ってから、作業用PCにて、各種ブラウザで開いてみました。


1.Windows7 IE11の場合


これは知識がない人だとうっかり、AmazonIDとパスワードを入力してしまいそうですね。

まあ、その入力を詐欺グループは狙っているわけですが。


2.Windows7 Google Chromeの場合

おお、警告してくれました。


3.Windows7 FireFoxの場合

こっちも警告してくれました。



騙されて自分のAmazonアカウント&パスワードを入力してしまう人も多いでしょうね。

Amazon等からアカウントを確認して下さい等のメールが来た場合、まずは疑うことが肝心です。


いきなりメール本文のリンクは開くのはやめましょう。

それぞれのサイトのTOPページ(例:Amazon→ https://www.amazon.co.jp/ )を手動で開き、そこでログインをして自分のアカウント情報を確認するのがよいでしょう。


また、メールの文中に電話番号がある場合は、その番号に電話するのはやめましょう。

とりあえずその番号をインターネットでキーワード検索してみるのです。

今回の場合の電話番号「03-5757-5252」は、検索してみれば一発で詐欺事例にあがっていることがわかりますよ。


突発的に表示されるGoogle等を騙る「当選画面詐欺」の画面 

2019-01-15 17:26:15 | ウィルスその他

Webブラウジングをしていると、急にこんな画面が出ることがあります。


おめでとう デバイス ユーザー!

貴方は選ばれましたGoogle最初の数人になる勝つために iPhone X または他のGoogle商品を! このギフトはただ一つ大切なユーザの中
Chiba.

 ↑
利用プロバイダのIPから推測された地名表示と思われる。


別例として、


親愛な (利用WEBブラウザ 例:Safari/Chrome)ユーザ様、

あなたは m月 dd,yyyyのラッキービジターです

アンケートに答えていただいた方に、「ありがとう」を込めて Apple iPhone Xが当たるチャンスを差し上げます!



================

これらはブログ等の広告などの裏に仕込まれた「当選画面詐欺」です。

Googleなど有名企業のロゴを使ってくることもありますが偽物です。


無視してブラウザ自体を閉じましょう。

仮想通貨を要求する詐欺メール13:1CYkVoaDEfVNfDubo7NHCuKYL34TwjeFMf Ciscoルータと言えば怖がると思うなよ 再び

2018-12-26 18:42:31 | ウィルスその他

ビットコイン要求詐欺脅迫メール

つい先ほど(2018/12/26 18:10頃) 久々にきましたw
(メールサーバ段階で自動で捨てられているものもあるかもしれないですが)

文面は、11/19と同様ですね。

前回の「あなたは大きな変態です。 無限のファンタジー!」のようなツイッター上で話題になるパンチがないのが残念です。



ちなみに仮想通貨のウォレット番号。

 今回: 1CYkVoaDEfVNfDubo7NHCuKYL34TwjeFMf




参考過去記事


2018/12/05 仮想通貨を要求する詐欺メール12:1LegBoS8sKbUyDqu9SSA3xpYTkTVYUf97p 「あなたは大きな変態です。 無限のファンタジー!」らしいw

2018/11/19 仮想通貨を要求する詐欺メール11:1H9bS7Zb6LEANLkM8yiF8EsoGEtMEeLFvC

2018/11/08 仮想通貨を要求する詐欺メール10:1NkQMBosJTeN1zs1T4X3QM5BLFX24YPKys(HTMLリンク貼りで騙すつもり?)

 2018/10/26 仮想通貨を要求する詐欺メール9
  ウォレット番号 1PfbxCJkGNTZC7yFtHHhtPnZyiwQEUqAmu


 2018/10/23 仮想通貨を要求する詐欺メール8
  ウォレット番号 1BEQ3id3nr2pummerJRiAtZrdGoYHsAwq7


 201810/15 仮想通貨を要求する詐欺メール7
  ウォレット番号 1G93wR2LDzd2euJ92ePbMGzZ2zpyDRWU4G


 2018/10/09 仮想通貨を要求する詐欺メール6
  ウォレット番号 1M3uh3QNTxVsK1MqR4cBdqajojUixCiwwq


 2018/10/01 仮想通貨を要求する詐欺メール5
  ウォレット番号 1ATnJsRDZgtdR362baqLDqQXxX2JUkWhXA


 2018/09/28 仮想通貨を要求する詐欺メール4
  ウォレット番号 1CPqrZhxjNf28Ub3dzKUAdCUEFeWrN1apk


 2018/09/21 仮想通貨を要求する詐欺メール3
  ウォレット番号 18UytoFiFoJo9fqJA3T76oPvXHvmEvUMog


 2018/09/20 仮想通貨を要求する詐欺メール2
  ウォレット番号 19fbzcVjCXSwoCjCfKtjRVHaVrghY7ZmDX


 2018/09/19 仮想通貨を要求する詐欺メールが
  ウォレット番号 19rq65nR7FqvEgeq3r8YmHGupsUvnD3pmD




文中には会社ブログに記載するには不適切な文言もありますが、
被害にあう人が少なくなるように、あえて晒しておきます。

===================================

From: <弊社のメアド>
To: <弊社のメアド>

件名: <弊社のメアド> - このアカウントはハッキングされています


送信日時:

 受信したメーラの表示上では、なんと「なし」です!

 メールヘッダ上では作成日時 2018/12/27 2:05:17(日本時間で) 未来w
 メールヘッダから推測すると、実際には18:05頃発信と思われます。

 これは、メール送信PCのシステムタイムが偽装されていて、
 メールサーバ機のシステムタイムが時間を未来にずらしているのかな?
 ちょっとこのあたりは詳しくないので、私なりの推測ですが。


本文: (単純TXTではなく、HTML形式)
   ざっとHTMLソースを見てみましたが、変な埋め込みはなさそうです。


親愛なるドメインユーザー<弊社のメアドのドメイン部分>!

私はスパイウェアソフトウェア開発者です。
2018年の夏にアカウントがハッキングされました。

私の証拠はここにあります: あなたのアカウントからこのメールをお送りしました。

ハッキングは、オンラインで行ったハードウェアの脆弱性を使用して行われました(Ciscoルータ、脆弱性CVE-2018-0296)。

私はルーターのセキュリティシステムを回り、そこに悪用をインストールしました。
あなたがオンラインになったとき、悪意のあるコード(ルートキット)があなたのデバイスにダウンロードされました。
これはドライバソフトウェアです。私は絶えず更新していますので、あなたのアンチウィルスは常に黙っています。

それ以来、私はあなたに従っています(私はあなたのデバイスにVNCプロトコルで接続できます)。
つまり、あなたがしているすべてのことを絶対に見ることができ、自分のファイルやデータを自分自身に見てダウンロードすることができます。
私はまた、あなたのデバイス上のカメラにアクセスして、定期的にあなたと写真やビデオを撮ります。

現時点では、私は固体の汚れを収穫しています...あなたに...
私はすべてのあなたの電子メールとチャットをメッセンジャーから救った。訪問したサイトの全履歴も保存しました。

私は、パスワードを変更することは役に立たないことに注意します。私のマルウェアは毎回あなたのアカウントのパスワードを更新します。

あなたが大好きなもの(アダルトサイト)を知っています。
ああ、そうです。私は皆から隠れているあなたの秘密の人生を知っています。
ああ、私の神、あなたのようなもの...私はこれを見た...ああ、あなたは汚いいたずらな人... :)

大人のコンテンツであなたの最も情熱的な楽しみの写真やビデオを撮り、カメラの映像とリアルタイムで同期させました。
それは非常に高品質になったと信じて!

だから、ビジネスに!
私は一つのことを確信しています。 あなたはしたくないこの汚れを見せてあなたの連絡先に.

だから私を送る私のビットコインウォレットに517ドル Bitcoin: 1CYkVoaDEfVNfDubo7NHCuKYL34TwjeFMf
転送時にウォレット番号をコピーして貼り付けるだけです。
あなたがそれをする方法を知らない場合 - Googleに尋ねる。

私のシステムは翻訳を自動的に認識します。
指定された金額を受け取るとすぐに、私のサーバーからすべてのデータが破棄され、私のrootkitは自己破壊する
心配しないで、私は本当にあなたの立場に落ちた多くの人々と "働いている"ので、私は本当にすべてを削除します。
ルータの脆弱性についてプロバイダに通知するだけで、他のハッカーがそれを使用しないようにする必要があります。

この手紙を開いて以来、あなたは50時間あります。
指定された時間が経過すると、資金が受け取られない場合は、デバイスのディスクがフォーマットされ、
私のサーバーから自動的にあなたの連絡先すべてに電子メールとSMSが送信されます。

私は賢明なままで、ナンセンス(私のサーバー上のすべてのファイル)に従事しないことをお勧めします。

がんばろう!



===================================

今回のメールは11/19のものと同じ文面

前回も記載しましたが、
 「Ciscoルータ、脆弱性CVE-2018-0296
で、信ぴょう性を高めようとしているのでしょうが。

こんなでも騙される人いるんでしょうね。


今回、弊社に対し発信したと思われるサーバですが、
[14.155.223.134] 中国のシンセン市に登録された業者のメールサーバからのようです。


ヘッダ偽装の可能性もあります。
BOTウィルスで一般人のPCが発信元になっている可能性もあります。

ですが、迷惑メールのブラックリストにのっているIPなので間違いないかと。


メールヘッダを見ると、送信元から直後のメール中継第一中サーバに転送される際に、不自然な時間のズレがあります。

送信パソコンのシステムタイムを弄るなどの偽装をしているのでしょう。




しかし、文面、元は何語なんでしょうね。

例えば文最後の「がんばろう!

これだけでも、原文の文字で見てみたいですね。

仮想通貨を要求する詐欺メール12:1LegBoS8sKbUyDqu9SSA3xpYTkTVYUf97p 「あなたは大きな変態です。 無限のファンタジー!」らしいw

2018-12-05 12:43:22 | ウィルスその他


本日(2018/12/05) 12:45頃、

さて弊社には半月ぶりにきましたよ。
(メールサーバ段階で自動で捨てられたものもあるかもしれないですが)


ちなみに仮想通貨のウォレット番号。

 今回:1LegBoS8sKbUyDqu9SSA3xpYTkTVYUf97p



参考過去記事

2018/11/19 仮想通貨を要求する詐欺メール11:1H9bS7Zb6LEANLkM8yiF8EsoGEtMEeLFvC

2018/11/08 仮想通貨を要求する詐欺メール10:1NkQMBosJTeN1zs1T4X3QM5BLFX24YPKys(HTMLリンク貼りで騙すつもり?)

 2018/10/26 仮想通貨を要求する詐欺メール9
  ウォレット番号 1PfbxCJkGNTZC7yFtHHhtPnZyiwQEUqAmu


 2018/10/23 仮想通貨を要求する詐欺メール8
  ウォレット番号 1BEQ3id3nr2pummerJRiAtZrdGoYHsAwq7


 201810/15 仮想通貨を要求する詐欺メール7
  ウォレット番号 1G93wR2LDzd2euJ92ePbMGzZ2zpyDRWU4G


 2018/10/09 仮想通貨を要求する詐欺メール6
  ウォレット番号 1M3uh3QNTxVsK1MqR4cBdqajojUixCiwwq


 2018/10/01 仮想通貨を要求する詐欺メール5
  ウォレット番号 1ATnJsRDZgtdR362baqLDqQXxX2JUkWhXA


 2018/09/28 仮想通貨を要求する詐欺メール4
  ウォレット番号 1CPqrZhxjNf28Ub3dzKUAdCUEFeWrN1apk


 2018/09/21 仮想通貨を要求する詐欺メール3
  ウォレット番号 18UytoFiFoJo9fqJA3T76oPvXHvmEvUMog


 2018/09/20 仮想通貨を要求する詐欺メール2
  ウォレット番号 19fbzcVjCXSwoCjCfKtjRVHaVrghY7ZmDX


 2018/09/19 仮想通貨を要求する詐欺メールが
  ウォレット番号 19rq65nR7FqvEgeq3r8YmHGupsUvnD3pmD



文中には会社ブログに記載するには不適切な文言もありますが、
被害にあう人が少なくなるように、あえて晒しておきます。

===================================

From: <弊社のメアド>
To: <弊社のメアド>

件名: <弊社のメアド>ハッキングされています! すぐにパスワードを変更してください!

送信日時:2018/12/05 14:23

 送信日時偽装。メールヘッダによると、12:27発信と思われる。


本文: (単純TXTではなく、HTML形式)


こんにちは!

私はあなたに悪い知らせがあります。
2018年6月28日 - この日、私はあなたのオペレーティングシステムをハッキングし、あなたのアカウント(弊社のメアド)にフルアクセスできました。

それはどうだった:
その日接続していたルータのソフトウェアには、脆弱性が存在しました。
私は最初にこのルータをハックし、その上に悪質なコードを置いた。
インターネットに接続すると、私のトロイの木馬はあなたのデバイスのオペレーティングシステムにインストールされました。

その後、私はあなたのディスクの完全なデータを保存しました(私はすべてあなたのアドレス帳、サイトの閲覧履歴、すべてのファイル、電話番号、あなたのすべての連絡先のアドレス)を持っています。

あなたのデバイスをロックしたかったのです。ロックを解除するために、私はお金がほしいと思った。
しかし、私はあなたが定期的に訪れるサイトを見ました, そしてあなたのお気に入りのリソースから大きなショックを受けました。
私は大人のためのサイトについて話しています。

私は言う - あなたは大きな変態です。 無限のファンタジー!

その後、アイデアが私の頭に浮かんだ。
私はあなたが楽しんでいる親密なウェブサイトのスクリーンショットを作った (私はあなたの喜びについて話しています、あなたは理解していますか?).
その後、私はあなたの喜びの写真を作った (あなたのデバイスのカメラを使って). すべてが素晴らしくなった!

あなたの親戚、友人、同僚にこの写真を見せたくないと強く信じています。
私は$559が私の沈黙のために非常に小さいと思う。
それに、私はあなたに多くの時間を費やしました!

私はBitcoinsだけを受け入れる。
私のBTCウォレット: 1LegBoS8sKbUyDqu9SSA3xpYTkTVYUf97p

Bitcoinウォレットを補充する方法がわからないのですか?
どの検索エンジンでも、「btc walletにお金を送る方法」と書いてください。
クレジットカードに送金するよりも簡単です!

お支払いの場合は、ちょうど2日以上(正確には50時間)をご提供します。
心配しないで、タイマーはこの手紙を開いた瞬間に始まります。はい、はい。それはすでに始まっています!

支払い後、私のウイルスと汚れた写真は自動的に自己破壊されます。
私はあなたから指定された金額を受け取っていない場合、あなたのデバイスはブロックされ、あなたのすべての連絡先は、あなたの "喜び"と写真を受信します。

私はあなたが賢明であることを望みます。
- 私のウイルスを見つけて破壊しようとしないでください! (すべてのデータはすでにリモートサーバーにアップロードされています) - 私に連絡しようとしないでください(これは実現可能ではありません、私はあなたのアカウントからメールを送りました)
- 様々なセキュリティサービスはあなたを助けません。 あなたのデータは既にリモートサーバー上にあるので、ディスクのフォーマットやデバイスの破壊は役に立ちません。

P.S. 私は支払い後にあなたに再び邪魔をしないことを保証します。
これはハッカーの名誉のコードです。

これからは、良いアンチウィルスを使用し、定期的に更新することをお勧めします(1日に数回)!

私に怒らないでください、誰もが自分の仕事をしています。
お別れ。



===================================

今回もメールの特徴ですが、11/8の件と同様に、
 (弊社のメアド)にフルアクセスできました。
の部分、mailto:自分のメアド のhtmlでリンクを記述していることですね。

セキュリティ対策をするように提案することで信ぴょう性を高めようとしているのでしょうが。


こんなでも騙される人いるんだろうなぁ。



今回、弊社に対し発信したと思われるサーバですが、
[176.231.21.171] イスラエルのようですね。


ヘッダ偽装の可能性もあります。
BOTウィルスで一般人のPCが発信元になっている可能性もあります。

ですが、迷惑メールのブラックリストにのっているIPなので間違いないかと。


メールヘッダを見ると、送信元から直後のメール中継第一中サーバに転送される際に、不自然な時間のズレがあります。

送信パソコンのシステムタイムを弄るなどの偽装をしているのでしょう。