メールハッキング対策 -親愛なるユーザー。 あなたのデバイスに1つのRATソフトウェアをインストールしました。-

20180919の朝6:45分頃 以下のハッキングしたとのメールが届きました。

※自分のアドレスから自分のアドレスに送信されています。

実際のメール↓

こんにちは、***.jpの親愛なるユーザー。あなたのデバイスに1つのRATソフトウェアをインストールしました。

この瞬間、あなたのメールアカウントはハッキングされています(今、私はあなたのアカウントにアクセスできます)。
あなたのシステムからすべての機密情報をダウンロードしました。私はいくつかの証拠を得ました。
私が発見した最も興味深い瞬間は、あなたのマスターベーションのビデオ記録です。

私はポルノサイトに自分のウイルスを投稿し、それをあなたのオペレーティングシステムにインストールしました。
ポルノビデオの再生ボタンをクリックすると、その瞬間に私のトロイの木馬があなたのデバイスにダウンロードされました。
インストール後、フロントカメラは自慰行為のたびにビデオを撮影します。さらに、ソフトウェアは選択したビデオと同期します。

今のところ、ソフトウェアはソーシャルネットワークと電子メールアドレスからすべての連絡先情報を収集しています。
収集したすべてのデータを消去する必要がある場合は、BTC(暗号化通貨)で550ドルを送ってください。
これは私のBitcoinウォレットです: 19rq65nR7FqvEgeq3r8YmHGupsUvnD3pmD
この手紙を読み終えてから48時間経っています。

あなたの取引後、私はあなたのすべてのデータを消去します。
さもなければ、私はあなたのいたずらを伴うビデオをあなたのすべての同僚や友人に送ります!

そして今後はもっと注意してください!
唯一の安全なサイトにアクセスしてください!
さようなら!

これはフィッシングの部類ですね。PC事態がハッキングされているわけではないので、そこは気にする必要ないかと思います。

さて、ここで考えられるのは、


1 パスワードがばれて本当にハッキングされた

2 「なりすまし」で自分のメールから送信されたように、改変された?


です。


どこかのWEBページにメールのパスワードが漏洩していないか確認しましょう!

まず、パスワードが漏洩していないか?を

';--have i been pwned?

で自分のメールを入れて確認します。

haveibeen.JPG

Good news(背景が緑)がでれば大丈夫でしょう!

パスワードがどこかのサイトに公開されている可能性はなさそうです。


注意:厳密にはアカウント作ってログインすると結果変わったりするので注意です、しっかり確認する場合はアカウント作ると良いと思います



さて、次にメールを解析してみましょう!

まずは、対象のメールのヘッダを調べましょう!

google : ヘッダー全体からメールの経路を確認する

↑メーラーごとにヘッダーの開き方が、掲載されていますので参考に

さて、ヘッダを見ましょう!

header_mail.JPG

このヘッダー情報をコピーして、

Messageheader - G Suite toolbox

に投げてみるときれいに整形してくれます。

googleheader.JPG

ここで注目したいのが、-12時間の遅延が発生していることと、この送信元IPが150.107.174.***であること、これはなりすましの可能性が高そうです。

次にaguseでこの怪しいIPを調べてみます。

newzealand.JPG

こちらは、ニュージーランドのサーバーですので、今回はニュージーランドから攻撃されたことになりそうです。

※ちなみに私はVPSにハニーポットを入れてどのように自分のサーバーが攻撃されているか観察しているのですが、毎日いろいろな国から攻撃を受けています笑 (ほとんどbotです)


まとめ

さてこれまでの事から考えられることは

メールヘッダから、怪しい宛先?(今回はニュージーランドのIPアドレス)があるかを調べてみて、あやしければ(自分自身からのメールでなかったら)なりすましの可能性が高いとみています。

自分のメールアドレスのサーバは私が管理していないので、いま現在ログを管理者に見てもらっています



ここで管理者に調べて欲しいと依頼したことは


1. 大量にメールを送信した記録がないか

2. 送信エラーが帰ってきていないか


の2点にです。

上記に該当すれば、乗っ取られている可能性高いので注意です!

もし問題なければ、乗っ取られている可能性は低いと思いますが、絶対ではないので、

メールアドレスのパスワードを変更(管理者に問い合わせる)しておきましょう!

レンタルサーバなどで管理されている方は、日頃からメールのトラフィックなどをチェックしておくと良いでしょう。


対策として

1. パスワードは複雑なものにする(簡単なものは乗っ取られます)

2. できれば定期的に代える

3. ';--have i been pwned?で定期的にチェック

4. 日頃のサーバーのメールのトラフィック量を把握しておく(変化に気づくために)


をチェックするように心がけましょう。

基本的にはほとんどが「なりすまし」なので、乗っ取られた可能性は比較的低いので、安心していいと思いますが、本当に乗っ取られたときはやばい!!!ので、気を抜かずいてもらえればと思います。

ちょっとした対策講座でした。

私はセキュリティについては初心者?なので、違うよー!っていうのがあれば知らせてもらえれば助かります。


追記

追記:同日

※今回は「なりすまし」で間違いなさそうでした。


追記:2018/09/20

また今朝7:10分頃に以下のメールが来ました(またしても自分から自分のメールへ)

こんにちは!

おそらくあなたが推測したように、あなたのアカウントxxx@xxxxxxxxは、私があなたからそれをあなたに伝えたように、ハッキングされました。

私は国際的なハッカーグループの一員です。
2018年7月23日から2018年9月17日まで、あなたが訪問した成人のウェブサイトを通じて、作成したウイルスに感染しました。
これまでのところ、あなたのメッセージ、ソーシャルメディアアカウント、メッセンジャーにアクセスできます。
さらに、これらのデータを完全に減衰させました。

私たちはあなたの小さな秘密を知っています...ええ、あなたはそれらを持っています。 私たちはあなたの行為を見て、ポルノのウェブサイトに記録しました。 あなたの味はとても変わっています。

しかし、重要なことは、時にはあなたのウェブカメラであなたを録画し、あなたが見たものと録画を同期させることです!
私はあなたの友人、親戚、あなたの親密な人にこのビデオを表示することに興味がないと思う...

Bitcoinウォレットに$550を転送する: 19fbzcVjCXSwoCjCfKtjRVHaVrghY7ZmDX
私はそれ以降、あなたの "データ"をすべて消去することを保証します:D

このメッセージを読むとタイマーが始まります。 あなたは上記の金額を支払うのに48時間を要します。

送金が完了すると、データは消去されます。
そうでない場合は、感染した瞬間に、録画されたすべてのメッセージとビデオが自動的にあなたのデバイス上にあるすべての連絡先に送信されます。

常にあなたのセキュリティについて考えるべきです。 このケースでは秘密を守るように教えてくれることを願っています。
自分を大事にして下さい。

同様にメールヘッダーをチェックして、Messageheader - G Suite toolboxに投げます

bk1.JPG

今回は3hの遅延が発生しており、ipアドレスも違います。aguseに投げます。

bk2.JPG

ブラジルですね!そして今回はipはちゃんとドメインも登録されています。

ブラックリスト判定結果もしっかり出ています。

※結果様々なサーバーをプロキシとして使って経由しているみたいです。


追記2018/09/21

今日も午前3時頃また同じ様なメールが届きました。

こんにちは!

あなたは私を知らないかもしれませんし、なぜあなたはこの電子メールを受け取っているのだろうと思っていますか?
この瞬間、私はあなたのアカウント(takeda_keigo@nousanson.jp)をハッキングし、そこからメールを送りました。 私はあなたのデバイスに完全にアクセスできます!
実際に、私は大人のvids(ポルノ資料)のウェブサイトにマルウェアを置きました。あなたは何を知っていますか、あなたはこのウェブサイトを訪れて楽しんでいました。
あなたがビデオクリップを見ている間、インターネットブラウザはRDP(Remote Desktop)として動作するようになりました。
それは私にあなたのスクリーンとウェブカメラへのアクセスを提供するキーロガーを持っています。
その直後に、私のソフトウェアプログラムはあなたのメッセンジャー、ソーシャルネットワーク、そして電子メールから連絡先全体を集めました。

私は何をしましたか?
私は二重スクリーンビデオを作った。 最初の部分はあなたが見ていたビデオを表示しています(あなたは良いと奇妙な味を持っている)、2番目の部分はあなたのウェブカメラの記録を示しています。
まさにあなたは何をすべきですか?

まあ、私は$ 570が私たちの小さな秘密の公正な価格だと信じています。 あなたはBitcoinによる支払いを行います(これはわからない場合は、Googleの「ビットコインの購入方法」を検索してください)。
私のBTC住所: 18UytoFiFoJo9fqJA3T76oPvXHvmEvUMog
(それはcAsEに敏感なので、コピーして貼り付けてください)

注意:
お支払いを行うには2日以内です。
(この電子メールメッセージには特定のピクセルがあり、この瞬間にこの電子メールメッセージを読んだことがわかります)。

私がBitCoinを手に入れなければ、私は間違いなく、家族や同僚などあなたのすべての連絡先にビデオ録画を送ります。

しかし、私が支払いを受けると、すぐにビデオを破壊します。

これは非交渉可能なオファーですので、このメールメッセージに返信して私の個人的な時間を無駄にしないでください。

次回は注意してください!より良いウイルス対策ソフトウェアを使用してください!
さようなら!

このメールを含め全てサーバが違うのと、振込先も違います。

messageheaderツールに投げると

day3-1.JPG

aguseに投げると

day3-2.JPG

ブラックリストの名は同じとろこにCAUTIONが出ているのがわかります。