セクストーション詐欺の新たな手口

セクストーション詐欺のフィッシングメールに、新たな手口が現れました。受信者がより騙されやすく、お金を払ってしまいそうな手口です。

昨日そのうちの 1 つが、熱心な読者を通して Naked Security に届きました。Brian Krebs 氏も、彼の Web サイトでこのことを報告しています。

そのメールは、受信者の名誉を傷つけるような画像を持っていると脅しながら画像の公開を止めるためにお金を支払うよう要求してきます。このように名誉を損なうような画像の所持を主張して被害者を操る手法は「セクストーション」として知られており、何年もの間使われてきました。しかし今回の詐欺メールの新しい点は、被害者が使用しているパスワードという、それまでになかったものがメールに含まれているところです。

以下は詐欺メールからの引用です。

私は〇〇(受信者のパスワード)があなたのパスワードであることを知っています。あなたは私を知らないし、なぜこんなメールを受け取ったのかと考えているでしょう。違いますか。

実は、私はあるアダルトビデオサイトにマルウェアを仕込んでいました。あなたはこの アダルトサイトに、楽しみを求めてアクセスしたのでしょう。あなたが動画を見ている間、お使いのブラウザはキーロガー付きの RDP (リモートデスクトップ) として動作しました。また、あなたの PC のディスプレイと Web カメラへのアクセスも得ました。その後、私のソフトウェアプログラムによって、あなたの Messenger、Facebook、電子メールアプリケーションからすべての連絡先を入手しました。

さて、私は何をしたと思いますか。

私は二画面の動画を作りました。一つの画面ではあなたが見ていた動画が流れ (ところであなた、良い趣味してますね)、二つ目の画面ではあなたの PC の Web カメラで録画された動画が流れています。

さて、どうするべきでしょう。

まあ、私は2,900 ドルが私たちのちょっとした秘密を守るための合理的な価格だと思います。支払は、ビットコインで行ってください。(もしビットコインを知らなければ、「ビットコイン 買い方」と Google で検索してください。)

BTCアドレス:19ZFj3nLSJCgoAcvZSgxs6fWoEmvJhfKkY
(大文字と小文字は区別されますので、コピーペーストしてください。)


【重要】
支払いは1日以内にお願いします。(このメール内には特殊なピクセルが使用されていて、あなたがすでにこのメールを読んだということはわかっています。)もしビットコインを受け取れなければ、私は、その動画を親戚や同僚など、あなたのすべての連絡先へと送信することになります。しかし支払いを確認したら、即座にその動画は削除しましょう。もし証拠が欲しければ、「Yes!」と返信してください。あなたの友達 9 人に動画を送ります。これは交渉の余地のないオファーであり、このメールに返信することで私やあなたの時間を浪費することはやめてください。

パスワードの力

たとえ見られてはいけない様子を見られたかも知れないと感じたとしても、多くの人は証拠もないセクストーション詐欺は見飽きており、騙されたりしません。しかし現実のパスワードが入っていると説得力が高まり、一部の人々は騙されてしまうのです。

複数人が受信したメールのコピーを Krebs 氏に送りましたが、すべてのケースでパスワードは 10 年以上使用しているものでした。私たちにメールを転送した人も、パスワードは昔から使っているものだと述べています。

しかしそれらのパスワードはどのようにして漏洩したのでしょうか。

Krebs 氏はこういったデータを供給する不正なオンライン検索サービスについて述べています。ほかの可能性としては、詐欺師が過去数十年に起きたデータ漏洩インシデントによって外部に漏れたパスワードのリストにアクセスしているということです。

Web サイトは、本来パスワードをプレーンテキストで保存しないはずですが、残念ながら今でもいくつかの Web サイトは暗号化せずにパスワードを保管しています。10 年前はなおさらです。

Web サイトで安全にパスワードが保管されていたとしても、パスワードハッシュのリストを持っているサイバー犯罪者は「辞書攻撃」として知られる攻撃を盗まれたリストに対して行うことができ、各ユーザーに対して何百万通りものパスワードを試行して正解を割り出すことができるのです。

もしサイバー犯罪者がクラッキングを仕掛ける前にパスワードを変更していたなら、昔に盗んだパスワードではログインできませんので、あなたは安全です。しかし、もしデータ漏洩があったことを知らなかったら (または知らされていなかったら)、サイバー犯罪者が正しいパスワードを割り出す恐れがあります。

もしサイバー犯罪者がクラッキングを仕掛けた時にかつてのパスワードでログインできなかったとしても、彼らはかつてのパスワードが何であったか知っています。そのため、同じパスワードや似通ったパスワードを異なる Web サイトで使用するべきではないのです。

そして、この詐欺が示しているように、古くて使用されていないパスワードであってもサイバー犯罪者にとっては「脅し作戦」に使う価値があります。あなたのかつてのパスワードを彼らが知っているという事実だけでも、十分に不安をもたらすものなのです。

この詐欺メールにはほかにいくつか注目すべき点があります。1 つ目は、この詐欺メールは明らかに Gmail のメールフィルターを迂回しているという点です。これは恐らく、メールの後半にランダムテキストを含んでいるからでしょう。

2 つ目は、メールの細部が人によって異なるという点です。例えば送り手のメールアドレスです(返信先や、あるケースではメールのテキストに含まれていたもの)。要求金額や、ビットコインアドレスもメールごとに異なります。

明らかに、人々はこの詐欺メールによって騙されているようです。現時点で私たちが得たメールビットコインアドレスはいかなる送金も受けていませんが、Krebs 氏が知っているアドレスのいくつかは送金を受けています。そのうちの 1 つは 2018 年の 7 月 6 日に 0.28847409 ビットコインの取引があったことを示しています。その日の価格で、送金額はおよそ 1,900 ドルに値します。ほぼ同様のメールで用いられた別のアドレスでは、2018 年 7月 9 日に 0.207145 ビットコイン、すなわち約 1,300 ドルを受け取っています。

それらのアドレスが、使用された暗号通貨の支払い先となっているアドレスのすべてではないでしょう。この手口は、時間を持て余していて、スクリプトのスキルがあり、魂のない人間にとってはある程度の儲けにはなっているようです。