More than 5 years have passed since last update.

自分のメアドから、「メアドがハックされたよ！」詐欺をうけた話

Last updated at 2019-04-10Posted at 2019-04-10

TL;DR;

"<メアド> has been hacked, change your password ASAP"という題で、bitcoinを投げないとwebcamや画面録画ばら撒くぞという脅迫メールが来た
実際のところ、メールのヘッダーを書き換えて、あたかもメアドがハックされているかのように装っていただけだった
From:は容易に書き換えられる。本当の送り元を見るにはReturn-pathを見ると良いらしい。
メアドはGithubのスクレイピングをした第三者からの流出だったらしい

概要

つい先ほど迷惑メールフォルダを確認していた時、以下のようなメールを見つけました(cj-bc@y-modify.orgは私のアカウント)

中身を読んだところ、

君のPCはクラッキングされたよ！
webカメラで撮った映像とか画面の録画とかを知り合いに流されたくなかったら下記のアドレスにbitcoin送ってね(=´∀｀)

といった内容でした（もっと堅い英語だったけど）
まぁちょっと動揺したのですがとりあえず、このドメインを管理している知り合いと、技術者である父親に相談しました

現状の分析

とりあえず現状がわからないのでPCをオフラインに。
現状わかっているのは

自分のメアドからメールが来た
そのメールサーバーには度々繋がらなくなるor繋がるけどエラーが出る

メールの内容を考えてみます。

メール本文と会話する(会話なのでタメ口です)

君のメアドから送られてるでしょ？クラックしたんだよ

うんなるほど？そうっぽいね
しかしどうやったのだろうか

PCをクラックしてパスワードを盗んだよ(*･ω･)ﾉ)

らしいのだが PCからそのメアドにログインした覚えはない (重要)

Webcamで撮った映像とか画面録画とか、バラされたくなかったらbitcoin送ってね(ﾉ≧ڡ≦)☆

うん。嫌だね。でも送るのも嫌だ。

君のPCクラックングしてるから、このメール読んだのも気づいてるよ。48時間以内に払ってね、それじゃ☆(ゝω・)v

...にゅ〜...私の操作監視してるなんて暇かな...??(実際は ~~ちょっと~~ 焦った)

本文からの考察

とりあえず、たとえクラッキングされていたとして、 PCからメアドにログインした覚えはないのです。
昔はログインしていたものの、現在はエラーで見れなくなっています。
なので、 少なくともクラッキングされてパスワードを盗まれたわけではないだろうと考えました。

他の人に意見を聞いてみる

身近にいたので技術者な父に聞いてみました

そもそも鯖に繋がりにくい状況なら、鯖側(y-modify.org側)がクラッキングされてたりしないか？
とりあえず管理者に聞くしかないが、PCのクラッキングではないだろう

とのこと。鯖の管理は私ではないので、とりあえず管理している友人に報告&相談することにしました。
同じ団体の人に情報共有したところ、

メアドが漏洩しているかどうかhaveibeenpwnedで調べてはどうか

との助言をもらったので調べたところ、GeekedInからの流出が確認できました

どうやら、昔GeekedInがスクレイピングしたGithubの公開プロフィールが流出し、そのメアドを使われたようです。
多分2016年のその流出の際にGithub登録していた人はそれなりの確率で当てはまっているのではないかと思います。
これでメアド流出についてはわかりました。が、それだけではまだログインできないはず。パスワードはリスト攻撃でも受けたのだろうか...

ここで、鯖管理者に聞いてみました。