仮想通貨を要求する詐欺メール10：1NkQMBosJTeN1zs1T4X3QM5BLFX24YPKys（HTMLリンク貼りで騙すつもり？）

本日（2018/11/08)もきましたよ。

多分、私が初めて見る文面。
WEB翻訳あたりを使っているのでしょうけれど、結構いい加減。

html形式を利用し「mailto:」リンクも貼ってありますね。適当ですけど。


ちなみに仮想通貨のウォレット番号。

　今回：1NkQMBosJTeN1zs1T4X3QM5BLFX24YPKys


参考過去記事

　2018/10/26　仮想通貨を要求する詐欺メール９
　　ウォレット番号　1PfbxCJkGNTZC7yFtHHhtPnZyiwQEUqAmu

　2018/10/23　仮想通貨を要求する詐欺メール８
　　ウォレット番号　1BEQ3id3nr2pummerJRiAtZrdGoYHsAwq7

　201810/15　仮想通貨を要求する詐欺メール７
　　ウォレット番号　1G93wR2LDzd2euJ92ePbMGzZ2zpyDRWU4G

　2018/10/09　仮想通貨を要求する詐欺メール６
　　ウォレット番号　1M3uh3QNTxVsK1MqR4cBdqajojUixCiwwq

　2018/10/01　仮想通貨を要求する詐欺メール５
　　ウォレット番号　1ATnJsRDZgtdR362baqLDqQXxX2JUkWhXA

　2018/09/28　仮想通貨を要求する詐欺メール４
　　ウォレット番号　1CPqrZhxjNf28Ub3dzKUAdCUEFeWrN1apk

　2018/09/21　仮想通貨を要求する詐欺メール3
　　ウォレット番号　18UytoFiFoJo9fqJA3T76oPvXHvmEvUMog

　2018/09/20　仮想通貨を要求する詐欺メール2
　　ウォレット番号　19fbzcVjCXSwoCjCfKtjRVHaVrghY7ZmDX

　2018/09/19　仮想通貨を要求する詐欺メールが
　　ウォレット番号　19rq65nR7FqvEgeq3r8YmHGupsUvnD3pmD


文中には会社ブログに記載するには不適切な文言もありますが、
被害にあう人が少なくなるように、あえて晒しておきます。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

From: ＜自分のメアド＞
To: ＜自分のメアド＞

件名： AVアラート

送信日時：2018/11/08　15:42　←　送信日時偽装ですね


本文：　（単純TXTではなく、HTML形式）


こんにちは！

あなたは私を知らないかもしれませんし、なぜあなたはこの電子メールを受け取っているのだろうと思っていますか？
この瞬間、私はあなたのアカウント（自分のメアド）をハッキングし、そこからメールを送りました。 私はあなたのデバイスに完全にアクセスできます！

今私はあなたのアカウントにアクセスできます！

実際に、私は大人のvids（ポルノ資料）のウェブサイトにマルウェアを置きました。あなたは何を知っていますか、あなたはこのウェブサイトを訪れて楽しんでいました。
あなたがビデオクリップを見ている間、インターネットブラウザはRDP（Remote Desktop）として動作するようになりました。
それは私にあなたのスクリーンとウェブカメラへのアクセスを提供するキーロガーを持っています。
その直後に、私のソフトウェアプログラムはあなたのメッセンジャー、ソーシャルネットワーク、そして電子メールから連絡先全体を集めました。

私は何をしましたか？
私は二重スクリーンビデオを作った。 最初の部分はあなたが見ていたビデオを表示しています（あなたは良いと奇妙な味を持っている）、2番目の部分はあなたのウェブカメラの記録を示しています。
まさにあなたは何をすべきですか？

まあ、私は$720が私たちの小さな秘密の公正な価格だと信じています。 あなたはBitcoinによる支払いを行います（これはわからない場合は、Googleの「ビットコインの購入方法」を検索してください）。
私のBTC住所： 1NkQMBosJTeN1zs1T4X3QM5BLFX24YPKys
（それはcAsEに敏感なので、コピーして貼り付けてください）

注意：
お支払いを行うには2日以内です。
（この電子メールメッセージには特定のピクセルがあり、この瞬間にこの電子メールメッセージを読んだことがわかります）。

私がBitCoinを手に入れなければ、私は間違いなく、家族や同僚などあなたのすべての連絡先にビデオ録画を送ります。

しかし、私が支払いを受けると、すぐにビデオを破壊します。

これは非交渉可能なオファーですので、このメールメッセージに返信して私の個人的な時間を無駄にしないでください。

次回は注意してください！より良いウイルス対策ソフトウェアを使用してください！
さようなら！



＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

今回のメールの特徴ですが、３行目の
　（自分のメアド）をハッキングし、そこからメールを送りました。
の部分、mailto:自分のメアド　のhtmlでリンクを記述していることですね。

ただ、間抜けなことに仮にこれをクリックしてメーラーが起動しても、
宛先to:には「自分のメアド）をハッキングし、そこからメールを送りました。」
がでることです。

まあ、文書後半の「この電子メールメッセージには特定のピクセルがあり　」の信ぴょう性をあげようとして、堪能ではない方を騙すつもりでついでにつけただけなのでしょうけれど。



今回、弊社に対し発信したと思われるサーバは[121.169.227.14]
韓国　ソウルにあるサーバからのようです。

ヘッダ偽装の可能性もあります。
BOTウィルスで一般人のPCが発信元になっている可能性もあります。

ですが、迷惑メールのブラックリストにのっているIPなので間違いないかと。



　＞送信日時：2018/11/08　15:42

メールヘッダを見ると、送信元から直後のメール中継第一中サーバに転送される際に、不自然な時間のズレがあります。
恐らく実送信された時間は、日本時間で本日(11/8)の06:50頃でしょう。

システムタイムを弄るなどの偽装をしているのでしょう。




＝＝＝＝追記＝＝＝＝＝＝＝＝＝

2018/11/08　10:00頃　また同じ件名、同じ文面できました。
ウォレット番号も同じです。

あれ？前回よりも文字が大きいかな？と思ったら、
前回はhtml内で指定していた下記を、今回はやめていました。

　前回の本文のHTML記載：

　　HTML HEAD内で、Generator content="Microsoft Word 12 (filtered medium)

　　styleで指定のフォント
　　　　・"Cambria Math"　"Calibri","sans-serif"

　　もしや、前回はMS-Wordで元を作ってHTML出力させたのかな？


発信元（というより、リモート操作による中継元と言うべきか）と思われるＩＰは[177.37.213.199]　サーバはブラジルにありそうです。


　＞送信日時：2018/11/08　07:51
メールヘッダからシステムタイムを偽装と推測されますが、多分実発信したのは09:57でしょう。