ソーシャルエンジニアリングについて。
直訳すると社会工学となり悪いイメージがないけれど、中身は他人を心理的に陥れたり情報を盗むための手法を指しております。前半はそれらの種類、後半は手口や私の手法を紹介。
セキュリティ意識を高めるために。
ソーシャルエンジニアリングとは?
歴史
この言葉は私がパソコン通信(インターネット以前のネット)をしていた頃に初めて聞いたフレーズなので相当な大昔から存在しております。
当時はADSLどころかISDNもないアナログ電話回線+FAXモデムの頃。何をハッキング(の前にスキャン)していたかは電話番号で、当時有名だったこの人まだ怪しいソフトをアップデートしており笑った。
混雑番号の特定・空き番号の確認・故障の切り分け・テレマーケティングのインバウンド/アウトバウンド支援など、DAブラックホールは多くの現場で活用されています。
source:ダイアモンドアプリコット電話研究所:DAブラックホール
現行バージョンがどうかはわからないけれど、昔のDAブラックホールは電話番号を連番で大量に調べて存在しているか、FAX接続しているかを調べるためのツールだったはず。まあどうでもいいか。
とりあえず最近定義されたものではございません。
種類
このサイトが詳しい。
人の脆弱性を狙ったソーシャルエンジニアリング|株式会社網屋
https://www.amiya.co.jp/column/social_engineering_20200608.html
詳しすぎるのでそれぞれを一行で。私は説明部分をほぼ読まず書いているので違うことを言っている箇所もあるはず。
- バイティング:ウィルスなどの混入ファイルをダウンロードさせる
- フィッシング:ニセURLのニセページへ誘導し情報を送信させる
- ショルダーハッキング:肩越しにモニタを盗み見て情報を得る
- トラッシング:ゴミ箱やゴミ捨て場で郵便物や書類をあさる
- スケアウェア:ブラウザやソフトで偽の警告を出して脅す
- プリテキスティング:警察や業者などになりすまし騙す
- リバースソーシャルエンジニアリング:※一行は無理
1,3,4,5,6が昔からある手口で、2番はメールやホームページなど無かったので存在しなかっただけ。
6番はオレオレ詐欺をイメージできるけれど、他にも実際にあった例としては草の根ネットの管理人が会員に電話し、ニフティになりすましてIDとパスワードを聞き出した事件もございました。※当時は個人情報ゆるかったので、草の根だろうと本名や電話番号を登録している人もいた。
7のリバースが付くやつは、電話によるオレオレ詐欺なら「この弁護士の番号に電話して」、メールなら毎日大量に来る「Amazonプライムの自動更新設定を解除いたしました」のようなやつでフィッシング連動系。
何がリバース(逆)かは、直接的な攻撃があるのではなく、間接的に罠にハメに来るスタイルなのでリバースが付くという。
現代版ソーシャルエンジニアリングの手口
仮想通貨の大量流出
仮想通貨興味ある人なら記憶に新しい事件がコインチェックのXEM(ネム)消失で、2018年1月の出来事。
攻撃者は、コインチェックの社員と接触し、管理権限を持つ技術者を調査。その後、長い期間にわたって関係を築いてから、ウィルス付きのメールを送付。Coincheck社の従業員PCがマルウェアに感染、流出につながりました。
ソーシャルエンジニアリングとしてのポイントは「長い期間にわたって関係を築いてから」の部分で、自作PCに置き換えると「長い時間かけて構成を考えてから」のように、ここさえ上手くやれば仕事は終わっているような最も重要な部分。
また、「ウィルス付きのメールを送付」とあるものの、普通はセキュリティソフトが止めてくれるだろうから、単純に既製品のトロイの木馬などを仕込んだのではなく、オリジナルな手法が使われたのだろうと推測できるところ。
どうオリジナルかは、ウィルス検出にはパターン(定義)ファイルがあり、それに該当した時にウィルスと判定されるため、自分でプログラミングして作成したウィルス、かつピンポイントで1人にだけ送信してもセキュリティソフト屋にはバレない、のような。
置き換えると、仮にコロナが人口数人のアマゾン奥地で流行しても存在が世に知られなければワクチンも作られない感じ。
オレオレ詐欺の派生
オレオレから始まり、「交通事故を起こしてしまい~」「会社のカネを~」はもう古いようで、一例としてこちらのサイトより端折りつつ転載。
出典:あまりに巧妙「オレオレ詐欺」はここまで進化した | 講談社(1/4)
- A地域センターから高齢者X氏へ電話がありフルネーム確認
- 65歳になられ特養B会の入居権があるようだが・・・
- X氏はまだ老人ホームには入る気ないとして断る
- Aが被災高齢者に入居権を譲っては?と提案
- X氏がそれをOKすると被災者支援団体C会から電話が入る
- C会が初期費用1千万円を立替えX氏に迷惑はかからない
- A会から電話、名義貸しは違法(国の補助金が出ない)
- C会から電話、500万用意できるが残り500万貸して
騙し騙され慣れている人なら7で「違法らしいのでそちらで名義変更の書類そろえてうちへ送れ」、もし8番を言って来たなら「500万を特養へ持参するので借用書作って特養まで来い」で終わりかと。
私ならそんな非効率なことはせず、4番の時点で「覚えがないので勝手にしろ」または「何かの手違いだろうから特養に連絡しておく」で終わる。
と言いたいけれど、こんなもんに騙されるか?と思ったなら長文だけれども本文お読みあれ。凄いなと素直に感心するほどもっと細かい。
宅配を装い情報盗む
これは昔ながらの手口ながら今でもあるらしく、肝心の具体的な内容が書かれていなかったのでここで書いておきましょう。昔はストーカーの手口として知られておりました。
攻撃者はターゲットの名字と電話番号、自宅がどこの市区町村かしか知らない状態。そのくらいなら社内の同じ部署のA子の情報はわかるものでしょう。また、裏付用としてA子はAmazonを頻繁に利用していると雑談を盗み聞いたとして。
A子が帰宅しているであろう時間帯に電話をかけ、「青木様でしょうか?こちら日本郵便の伊藤と申します。Amazon様よりお届け物が1件あるのですが伝票が雨に濡れて町名から下が読めなくなっておりまして・・・」
これでA子の自宅を特定できるという。雨の日が待てないなら「雨に濡れて」の部分は「破れてしまっており」でも良さそう。ただし男性配達員が持ち出している前提なら雨に濡れた方が疑われなさそう。
女性ストーカー版にするなら、伝票が破れて町名以下がわからない=配達担当者が決められない=郵便局の俗に言う本局で止まっている、とイメージ。
「私、日本郵便渋谷郵便局集配課の上野と申しますが江口様のお電話で間違いございませんか?いつもご利用ありがとうございます。江口様宛にAmazon様から(以下同文」でよろしいかと。ただしこちらは発信元が固定電話番号でなければ怪しいところがネックなので配達員版が無難。
私でもこれやられると回避できる自信がないと思えるほど、 単純ながら個人的には最強だと思う。
私が実際にやるソーシャルエンジニアリング
私は日常生活でもソーシャルエンジニアリングを活用しております。もちろん悪い方向ではなく、しかしホワイトとも言えないグレーな辺りで。
フェイクサイトを潰すために
過去いくつかの個人サイトや会社を潰したけれど、最新ならこいつ。
- 東芝製のWindowsノートPCはクソ、Mac最高スゲー
- Windowsの方がショートカット多いと知り作文改ざん
- ハテナブックマークやTwitterでツッコまれ更に文書改ざん
- 本当にWindows PC買ったの?と私以外の人にも疑われ改ざん
- 「アンチ怒らせると怖い」と勘違いした作文を公開して私が着火
- そのページまで削除して逃げた気になっており当サイト常連が嘲笑
source:しくじり先生ちんあなご先輩の炎上し焼身自殺的末路
どこが私の逆鱗に触れたかは、一言でいうとカネ欲しさにウソを広め誤魔化し煽ったため。私はPC関連で、ウソ・あやしい・知ったかぶりを広めるのは許さないので「誤りを認めてごめんなさいしろ」と伝えスルーされたのが上記5番め辺り。
また、ちんあなご先輩(以下、トモキ)とかいう神戸大を2年留年(自称休学)してネットで儲けると夢見るクソガキにヒツジ先輩がコケにされたまんまでも困るので着火するしかなくなった。
3行で。
- Twitterで「訂正とか詫びるべき」と忠告<無視
- 「ブログでネタにするぞ」と一応伝えた<無視
- TwitterのDMで「無視かな?」と煽ると<返信&ブロック
自分は自ブログで多くの他人を煽る割に本人煽り耐性ゼロ。
自分で「返信してしまうと相手の思うつぼです。」と言っていたので返信しないだろうな(絶対するだろうな)と思えばその通りなレベチ。※レベルが違う
なぜブロックするよう仕向けたかは聞く耳(読む目)を持たないことを確認したく、実際に確認できた。
一度も指摘に感謝も謝罪もせずよくここまでの詭弁をいう、神戸大学の工学部(偏差値57くらい)で2年も遊ぶために留年するのだからその程度なのでしょう。
さて、ここまでの流れを見ると私は特に何もしていないように見えるかも知れないけれど、「このクズ絶対謝らないし訂正しない系、本物のバカだ、もうだめかもわかるよね」と直感した時点で罠の設置準備へ。
- トモキのブログから関連サイトを調べる(Twitterやnoteとか)
- その内容の方向性から黒いと言えるページをブックマークする
- ブログでおかしなことを書いているページを魚拓&スクショ
- 上記2と3をネタにトモキの世間に対する汚さを脳内まとめ
トモキがどれほど非常識で世間知らずなのか、まず脳内でイメージ。
ここまで15~30分くらい。これで1記事以上イケるはずなのでネタ集めとしては効率良いし、クソガキに対して長い期間にわたって関係を築いてからなぞ必要ござらない。
トモキの幼さ、世間知らずさ、SNSやブログやネットに対して恐れ知らずを想像しつつ爆撃開始。
- Twitterの最新2~3件くらいまでに正論かつ批判的な返信を投下
- コアタイムのはずなのに返信無ければ更に7~8件の正論投下
- 削除に備えすべてのスクリーンショットと個別URLを保存
返信待ちの時間にブログやnoteでおかしなことを言っていた部分をブクマからスクショなどで保存。ここまでの特徴は、私が何をしているのかターゲットには想像していない、これもソーシャルエンジニアリング。
予想通り反応ないので最後にDMで煽ってみたのが上の画像。
返信しなければよかったのに。不正解を続けてしまうのは私がそう誘導しているからでもあり、トモキが本格派なバカだから確信あった。
- 公開ツイートに返信なし<予想通り
- DMでも煽ってみると返信<予想通り
- アンタ再起不能でしょう?<爆雷投下
最後の爆雷投下とは、当サイト(私)はSEOに極めて詳しく、当サイトの要素とは全然関係ない「ちんあなご先輩」というキーワードでも上位にイケる。あれから1年以上や数ヶ月経過している今でも3と4番め。
ちなみに5番目は秒間サンデーの批判的な記事なので「ちんあなご先輩」ブランドの価値はマイナス。SNSでカネあさりするならブログのサイト名以上にハンドルネームは重要なので致命的。
「私がウソを書いたり、誤魔化したり、皆さんを煽ったことをお詫びします」的な記事を1枚書けば良かっただけなのに。最後までウソを突き通して逃げ切ったと勘違いしているトモキはきっとまともに就職できないと思う。
偏差値57程度の癖にnoteでカネ取ろうとしている時点でクズ染み付きすぎ。
【神戸大学合格者が教える】合格率を確実に上げるための戦略とズルい勉強法【工学部】|ちんあなご先輩|note
https://note.com/senpai_anago/n/nb5bcf949ab20
2年サボった大学6年生、ブログでもうけようとして失敗したが、どうしてもネットでカネもうけにしがみつきたいアホ。2,687文字は当サイトが1日に書く文字数以下な素人レベル。1,480円も出すなら普通の本買いましょう。
というわけで、ここまで半分くらいソーシャルエンジニアリング関係なくない?と思ったなら私の策略に気付いていない。
トモキが現実社会に出て、もし本名が知られていたら?カネもうけ遊びしたく2留した神戸大工学部なら?その理由が「起業する予定でした」のような薄っぺらい小僧だったなら?良い印象にはならないでしょうな。
以上、これらの情報は私だけではなく弊サイト常連の哨戒遊撃隊(ありにゃん ともいう)の提供でもお送りしており、ネットの恐ろしさをもっと学ぶべきで半年以上ROMると良さそう。
何万年ROMろうと理解できないのがトモキとも。
ソーシャル~は仕事でも使える
ここ社内の一部の人も見ている可能性があるため、エグいのは書けないのでライトなやつで。
皆さん見積もりする時にどう依頼するかご想像あれ。仕事ではなくとも自宅の修繕とか、中古車買うなどでもOK。普通は何社かで見積したり、もっと安くならないかと他社の見積見せて値切ってみたりするのでは。
私の場合は業者に「(いつも通り)値切らないので最初からギリギリの価格で一発勝負を。社内ルールがあるので3社の相見積になるのはご承知で」として、実際にはかかりつけの工務店Dならその一社にしか見積は依頼しない。
どういうことか細切れで解説。
- 値切らないのでギリで・・・時間の無駄なので値切りたくない
- 一発勝負・・・複数社の価格を見て何度も値下しろと言わない
- 社内ルール・・・そんなものはございません(普通あると思う)
- 3社の相見積・・・工期や納期が伸びるだけなので一社決め打ち
私のソーシャルエンジニアリングはこれだけでは終わらず、実は内訳をD社へ、主に社長、時には専務を通じてバレらしてもらっております。
社長(専務)「常務(私)がD社のことをえらく気に入っており、信頼できて良い仕事をするので変えたくないと言っており、実際にはD社にしか見積は依頼していない。この話は私(常務)君には内密に」
これでD社からの私に対する信頼感は圧倒的に高くなり、その内情を教えてくれた社長または専務に対するD社からの高感度は高まり、D社経由で仕事をもらえたりも実際あった。
ただし調子こいてもし高く出し始めたなら、その時は本当に相見積するし、もうだめかもと思ったなら鞍替え。
余談ながら社内ルールの複数社の相見積「普通あると思う」とは、1社独占にすると見積担当者がリベートを受け取る可能性が出て来るため、デカい会社になるほどこういうのは通じないはず。
私がリベートを受け取らない理由は横領だから以外に信用失うから、社長と専務はその私の性格を知っているからこそ成り立っております。
進化する犯罪やその伏線に対する自衛の知識を
大昔は固定電話とFAXくらいしか通信手段がなく、実際に対面で他人と接する機会しかなかったので個人に対する攻撃はアシが付きやすく難しかった。
対して現在はインターネットやスマホ当たり前なので個人情報を入手すればピンポイントで老人を狙い、メールで無差別に数打てば当たる手法が通用する。
この最新版を大昔へ持ち込んだなら?
オレオレ詐欺が20年以上前に発案されていたなら、まだ電話帳に個人の電話番号が掲載されていて当たり前の頃となると、そういう詐欺が流行っていると知る方法がテレビや新聞くらいと少なく、今より被害はデカかったはず。
なぜそうなるかは、20年以上前にオレオレ詐欺に対する知識が無く、情報源も限られすぎているため。しかも「オレ」が本当に息子や孫か、ケータイが無い時代では簡単に確認できない。
これを現代に当てはめると、積極的にネットでニュースやSNSから情報を得ている人はまだ良いとしても、未だに新聞やテレビくらいしか情報源のない人は対策に出遅れてしまうでしょう。
宅配のような古典的な手口は今でも通用する、しかし古典的ゆえに今の若い人は知らないかも知れない。令和最新版の手口は高齢世帯が電話やネットで攻撃されやすいかも知れない。
私が過去10年以上の内数年しかパソコンにセキュリティソフトを入れずノーガードでもウィルスやフィッシングに掛かったことがない理由は「この添付ファイル多分ヤバいやつ」「アイコンは安全そうなのに拡張子おかしい」「ていうかそのURLは無いだろう」「日本語変だぞ」など知識があるため。
余談ながら実体験で、銀行へ行き窓口で株式会社の口座から100万円以上を引き出しても何も言われなかったけれど、ATMで個人の口座から40万円を引き出そうとするとATMが停止し、行員が来て何に使うのか、誰かに譲渡するのか、信用できる人か、詐欺ではないか、などと問い詰められた。
こうして第三者が気にしてくれても対策の一部でしかございません。
知識だけで100%防御できるわけがないとしても、無いよりはある方が良く、ソーシャルエンジニアリングとはこういうもので、新たな手口が今後増えるはずと警戒するべき。
また、私のような人間を知っているならばあなたも同類なので騙される可能性は低め。知らないならば素直すぎるのでもう少しグレーゾーンを知るべき。
>というわけで、ここまで半分くらいソーシャルエンジニアリング関係なくない?と思ったなら私の策略に気付いていない。
ちんあなご先輩のことを書きたいからソーシャルエンジニアリングについて書いたのかと思いましたw
プロジェクト管理ツール「Trello」で運転免許証など個人情報流出 閲覧範囲の設定ミスが原因か - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2104/06/news080.html
国内企業の採用情報がTrelloでダダ漏れだと話題に ~公開設定を今すぐ見直して! - やじうまの杜 - 窓の杜
https://forest.watch.impress.co.jp/docs/serial/yajiuma/1316821.html
流出騒ぎのTrello、運営元が声明 「初期設定は『非公開』」「意図しない情報漏えいを止めるためサポート」 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2104/06/news118.html
タイムリーに公開設定を「公開」に設定していたため、様々な情報が漏れたようです
個人情報を漏らされた人はソーシャルエンジニアリングの標的にされるんでしょうね…
自分で個人情報をネットで公開しないように気をつけていても企業側がただ漏れだったら意味がないですね…
元ネタはこれ。
電話番号含む5億人超のFacebookアカウント情報がネットで公開される - PC Watch
https://pc.watch.impress.co.jp/docs/news/1316489.html
「パスワード漏れていないならセーフ」と思うような情弱な人は気を付けるべきで、今まで宛先よくわからない状態(CcやBcc)で来ていたフィッシングがTo決め打ちで来る可能性が高まり、メール本文に「本名 様」と自分の名前が入る可能性もある、これがソーシャルエンジニアリング。
確認するならこれら。
Facebookから流出した5億超データに自分の携帯番号があるか検索可能に HIBPが公開 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2104/07/news116.html
自分の個人情報がFacebookから流出したのかを電話番号で調べられる「Have I Been Facebooked?」 - GIGAZINE
https://gigazine.net/news/20210406-have-i-been-facebooked/
漏れたかどうか確認する意味はたいしてございません。漏れていたなら本名直撃でフィッシング来るかも知れないし、漏れていないようでも電話番号違うならメールアドレスと本名が直結している。Facebook本当怖い。
>ちんあなご先輩のことを書きたいから
それもないとは言い切れないけれど、「ひつじ先輩」潰しの前哨。
>ソーシャルエンジニアリング
電話番号の聞き出しは小学生時代にけっこう流行りましたね。PCとは無関係ですが。いわゆる名簿屋(名簿業者)が各個人宅へ電話を掛け、小学生に対し「連絡網に書いてある名前と電話番号、あと知っている友達の住所を教えて?」と迫る手法。
>凄いなと素直に感心するほどもっと細かい
裏を返せば「そこまで凝らないと騙せなくなった」とも言えますね。フィッシングサイトの完成度が上がっていることと似た印象を受けます。警戒と対策のいたちごっこは終わらず。
>返信してしまうと相手の思うつぼです。
せめて返信するなら
「たくさんのご感想・ご意見などありがとう御座います。私はコメントを返さない主義ですので、見える形でのご返答はいたしかねますが、頂いたコメントにはすべて目を通しております。なるほどと思う点、それは違うと反論したくなる点などありましたが、いたずらに口論することは避けたいと考えております。繰り返しとなりますが、私はネット上でコメントを送り合い、顔の見えない相手と議論を交わすつもりはありません。ですからいくらコメントを頂いたところで、私から一切の反応が返ってくることはありません。そのことをお知らせしたくDMをお送りいたしました。貴重なご意見ありがとう御座いました。」
こういった末尾に(棒)が入るくらい心のこもっていない文章を返せと。感情をむき出しにして返信すると、読み手には「相手が正しい」という印象を与えがちですね。
>偏差値57程度の癖に
たぶん私の偏差値って50にも届かないと思いますよ。今はもとより高校時代でも。少しだけ言い訳をするなら、勉強よりも興味のあることが多く、そちらの研究というか追及に時間を費やしていたため。本当に神戸大学に合格していたなら、私よりちんあなご先輩の方が、世間一般で言う「アタマのイイコ」なはず。
だからどうした、という話。
>その時は本当に相見積するし、もうだめかもと思ったなら鞍替え。
弊社はその判断がかなり甘いですね。損切りが遅いと言い換えても良し。社長が若いころお世話になった会社には、私から見ても「利益ゼロどころかウン十万くらいマイナスじゃないか」と思う取引も、昔のよしみということで社長命令のGOが出るという。
なお、その会社の与信枠(与信限度額)は500万を大きく下回るくらい。
>ATMで個人の口座から40万円を引き出そうとするとATMが停止
クレジットカードでも、高額なものをネット通販で買おうとするとストップを掛けられることありますね。電化製品をまとめ買いして20万円くらい支払おうとしたら電話が来たことあります。
雑なの届いていたので晒しておく。
----------------------- Original Message -----------------------
From: ***@gmail.com
To: ***@gmail.com
Date: 07 Apr 2021 17:47:41 +0200
Subject: 通知
----
初めまして! 残念なお知らせをするために、ご連絡を差し上げております。 僕は、約2〜3ヶ月前にネット閲覧用に貴方が利用しているデバイスにアクセスし、その後ずっとネット行動を追跡していました。 アクセスするまでの経緯は、 少し前にハッカーからメールアカウントへのアクセスを購入したからです(最近では、そういったものをネット上で購入するのは、かなり単純です)。 だから、貴方のメールアカウント (***@gmail.com)にも簡単にログインができました。 ログインの1週間後には、既にトロイの木馬というマルウェアを、貴方のメールと繋がっている全てのデバイスのオペレーティングシステムにインストールしました。 実際、やってみると全く難しくありませんでしたよ。(受信トレイのメールのリンクを何も問題なくたどっていただき、ありがとうございました。) 巧妙な手口は意外と全て単純なのです。(^ ^) そのソフトウェアによって、貴方のデバイスの操作を全て可能になりました(例えば、マイク、ビデオカメラ、キーボードの操作)。 既に、貴方の個人情報、データ、写真、ウェブ閲覧履歴を僕のサーバーにダウンロードし保存してあります。 貴方のメッセンジャー、SNS、メール、チャット履歴、連絡先一覧の全てにも僕はアクセス済みです。 僕のウイルスはドライバレベルで動作し署名を継続的に更新するため、ウイルス対策ソフトウェアでは検知されません。 同様に、この手紙がなぜウイルス対策のソフトウェアに検出されなかったのかの理由も、今ではご理解いただけていると思います・・・ 貴方の情報を収集している間に、貴方はアダルトサイトの大ファンだということを発見しました。 ポルノサイトを訪問して、とてつもない快楽に耐えながら、興奮するような動画を閲覧するのが本当にお好きなようですね。 偶然にも、貴方の卑猥なシーンを録画することに成功したので、貴方の自慰行為と絶頂に達する姿を見せるような動画数本をモンタージュにしました。 もし嘘だと思うのであれば、僕のマウスを数回クリックするだけで、全ての動画が貴方の友人、同僚や親戚とシェアできることを実現いたしましょう。 僕的には、パブリックアクセスにしてしまっても問題はありません。 貴方の好きな動画の趣向を考慮しても、そんな動画を公にされたくはないはずです。(僕の言いたいことは分かるでしょう)公になったら、本当の大惨事になるかもしれませんね。 なので、ここで取引をしましょう。 16万円 (送金時の為替レートに応じたビットコイン相当額)を僕に送金してください。送金を受け取ると、この卑猥な動画は全て削除しましょう。 その後は、お互いのことは綺麗さっぱり忘れてしまい、貴方のデバイスにある有害なソフトウェアの機能を停止して削除することを約束します。僕は言ったことは守ります。 僕が貴方のプロフィールとトラフィックをしばらくチェックしていることを考えると、これは公正な取引であり、かなり安価なはずです。 ビットコインの購入、送金方法が分からない場合は、どのサーチエンジンで検索しても方法は知ることができます。 僕のビットコインウォレットは 1F7ACczwAFvio2mYguA5sBUWrmLq3GW37p です。 このメールを開けた瞬間から48時間(正確には2日間)の猶予を与えましょう。 下記の行為をするのはやめてください。 *僕に返信すること。(貴方の受信ボックス内でこのメールを作成し、返信アドレスも作成したからです。) *警察や他のセキュリティサービスと連絡を取ろうとすること。さらに、自分の友人に相談するのもやめてください。もし口外していることを僕が感知すると、貴方の動画は公開されます。 (僕は貴方のシステムの全てをコントロールしているので、感知するのはそう難しくないと思いますよ。) *僕を探そうとすること。すべての仮想通貨取引は匿名で行われるため、絶対に無意味です。 *デバイスにOSを再インストールしたり、破棄したりすること。全てのビデオが既にリモートサーバーに保存されているので、この行為も無意味です。 下記は貴方が心配しなくても良いことです。 *僕が送金を受け取れないかもしれないこと。 - すべての行動を継続的に追跡しているので、送金が完了するとすぐに表示されるため、安心してください。(僕のトロイの木馬マルウェアは、TeamViewerのようなリモートコントロール機能を搭載しています。) *貴方が送金を完了しても僕が貴方の動画をシェアするかもしれないこと。 - 僕を信頼してください。貴方の人生をもっとややこしくするつもりはないし、シェアしたいだけなら、この手紙を送らずに行っているはずです! 全ては公正に行いましょう! あと、もう一つ・・・将来的にも同じような状況に引っかから
--------------------- Original Message Ends --------------------
単なるフィッシングながらこれにはソーシャルエンジニアリングが含まれており、ビビって「Bitcoinて何だ?」「どうやって振り込めば?」的にあわてるおっさんが1万人中1人でもいれば16万円ゲットしそう。
なぜメルアドハッキングできるとトロイを手持ちデバイスに仕込めてカメラとかにアクセスできるのかぜんぜんわからん。しかし別の意味で本気で「全然わからん人にはわからないからこその恐怖」なのでしょうな。
うーん、62点。
LinkedInからスクレイピングされた約5億人分の公開個人情報も犯罪フォーラムで販売 - ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2104/09/news047.html
LinkedInから5億人分の個人情報が流出、自分のアカウントへの影響の確認方法と対策とは? - GIGAZINE
https://gigazine.net/news/20210409-linkedin-leak-500-million/
日本では転職文化が盛んではなく匿名文化なので利用者は少ないですが、LinkedInから流出した情報もソーシャルエンジニアに利用されるんでしょうね…
誤字訂正
×ソーシャルエンジニア
○ソーシャルエンジニアリング