«前の日記(2018-08-08) 最新 編集

meta's blog - The Power To Serve

筆者について - No Unix, No Life

日本xrdpユーザ会発起人。

とある元大学院生の UNIX 系日記。FreeBSDを通じてOSSに囁かな貢献を。 FreeBSD ports contributor やってます。

For non Japanese native people:
If you are interested in my articles, please leave comments. I will do my best to give you articles in English.


2018-08-09 自分のパスワードがメールで送られてきた [長年日記]

自分のパスワードがメールで送られてきた話

今朝、突然自分のパスワードがメールで送られてきました。以下がそのメール。メールアドレスとパスワードのみ伏せています。example.jp は自分のメールアドレスのドメイン名部分です。

From: Leann <info@example.jp>
To: meta@example.jp
Subject: meta@example.jp:__PASSWORD__

It appears to be that, (__PASSWORD__), is your password. You might not know me and you are most likely wondering why you're getting this e-mail, right?
 
actually, I setup a malware over the adult videos (adult) website and you know what, you visited this web site to have fun (you really know what What i'm saying is). When you were watching videos, your internet browser began functioning like a RDP (Team Viewer) which provided accessibility of your screen and web cam. after that, my software programs obtained your complete contacts from your Messenger, Microsoft outlook, FB, as well as emails.
 
What did I actually do?
 
I produced a double-screen video clip. First part shows the video you're watching (you've got a good taste haha . . .), and 2nd part shows the recording of your web cam.
 
exactly what should you do?
 
Well, in my opinion, $1200 is a reasonable price for our little secret. You will make the payment by Bitcoin (if you don't know this, search "how to buy bitcoin" search engines like google).
 
BTC Address: 1L8nG6ETuWEvoBkTS2GGx7oncATc9vkcq1
(It's case sensitive, so copy and paste it)
 
Important:
You've 1 day to make the payment. (I've a completely unique pixel within this e mail, and at this moment I know that you have read through this email message). If I do not get the BitCoins, I will certainly send your videos to all of your contacts including family, colleagues, and so forth. Having said that, if I get the payment, I'll destroy the video immidiately. If you want evidence, reply with "Yes!" and i'll definitely mail out your video recording to your 6 contacts. It is a non-negotiable offer, that being said don't waste my personal time and yours by responding to this message.

要するに、PCにマルウェアを仕込んでお前の恥ずかしい動画を撮ったから、友達や家族にその動画を送られたくなかったら1200ドルビットコインで払えという要求。そのメールに実際に使われていたパスワードをつけることによって、説得力を増すいうからくり。

パスワードは昔実際に使っていたもので、結構なサイトで使いまわしていました。2010年のTwitterパスワード強制リセットのときにはそのパスワードをTwitterのパスワードにしていました。

かなり多くのサイトで使いまわしていたパスワードなので、今となってはどこのサイトが流出させたものかはわかりませんが、どこかのサイトが流出させたメールアドレスとパスワードのリストを入手してメールアドレス宛に脅しめいたメールを送っているパスワードリスト型攻撃ですね。

Twitterパスワードの強制リセット当時、同じパスワードを使いまわしていたサイトのパスワードも同時に変えましたが、いくつかのサイトで未だに使っていたので一通りパスワード変更して対応完了。普段の生活環境はFreeBSDデスクトップなので、絶対にマルウェアを仕込まれないとは言いませんが他にもっと効果的なターゲットがいるのは明らかなので、ウェブカムで恥ずかしい動画を撮ったというのははったりとすぐにわかりました。

みなさんも、自分が実際に使っているパスワードが「お前のパスワードこれだろ?」というメールに書かれて送られてきても落ち着いて対応できますように。

自分以外にも同様のメールが届いている人がいるようです。

追記: こうやってブログを書いている間にも、同じような文面をちょっと変えたメールが何通も届いていました。同じパスワードがメールに含まれるのは最初にきたメールと同様。

一応拙訳置いときます。

あなたのパスワードは (__PASSWORD__) のように見えます。私のことはご存じないだろうし、なぜこんなメールを受け取っているのか不思議に思っていることでしょう。
実はとあるアダルトサイトを通じてマルウェアを仕込みました、例のあのサイトです。あなたはこのサイトを訪れてお楽しみでしたね(言っている意味がわかりますよね)。あなたが動画を見ている間、ブラウザがリモートデスクトップのように機能し、あなたの画面とウェブカムにアクセス可能でした。そして、メッセンジャーやメールからあなたの知り合いの連絡先を手に入れました。
私は何をしたでしょうか?
2画面の動画を作ったんです。片方があなたが見ていた動画(いい趣味してるね笑)、もう片方がそれを見ていたあなたをウェブカムで撮影したもの。

さあ、どうしますか?$1200 は私達の秘密の値段として高くないと思います。あなたはビットコインで支払いをすることになるでしょう(方法がわからなければググって)。

BTC Address: 1L8nG6ETuWEvoBkTS2GGx7oncATc9vkcq1

重要:
支払いまでに1日の猶予があります(1x1ピクセルのユニークな画像を仕込んでいるので、あなたがこのメールを読んだことはわかっています)。もし支払わなければ、さっきの動画をあなたの家族、友人などに送ります。支払えばすぐに動画を破棄します。証拠が欲しければ「Yes!」と返信してください。あなたの友達6人に動画を送ります。メールでのやり取りでお互いの時間を無駄にしたくないので、交渉の余地はありません。

訳注: 1x1の画像はなかった(メールはプレーンテキストだった)