로맨스 스캠-이사벨라 사요바 부인 피싱 메일 분석

오늘은 로맨스 스캠인 이사벨라 사요바 부인 으로 시작을 하는 로맨스 스캠을 분석을 해 보겠습니다.
로맨스 스캠(Romance scam) 이란 라는 주제로 한번 글을 적어 보겠습니다. 개인적으로 블로그에 이메일을 등록하고 나서부터 계속 로맨스 스캠(Romance scam) 이라는 것이 오고 있어서 이번 기회에 한번 글을 적어 보게 되었습니다.
로맨스 스캠 이라는 이성적 관심을 가장하여 피해자의 관심을 얻어 그들의 호의를 이용하는 범죄입니다. 물론 이메일만 오는 것이 아니고 페이스북을 통해서도 뜬금없이 자신이 프로필 사진을 남자, 여자로 해놓은 반대가 되는 성별이 팔로우를 하게 되고 채팅을 시도하면 갑자기 너 어디 사니 너 마음에 든다는 이야기를 해서 사기 치려고 하는 것을 볼 수가 있습니다. 일단 해당 이메일는 작년 8월쯤에 한번 글을 적었는데 최근에 또 받았습니다. 다만, 최근에 온 메일은 약간 내용인 약간 달라진 것을 확인할 수가 있었습니다.
일단 이메일 내용은 다음과 같습니다.

로맨스 스캠 이사벨라 사유바 부인

친애하는 하나님의 선택
나는 내 눈의 무거운 눈물과 내 마음의 큰 슬픔으로 이 편지를 당신에게 쓰고 있습니다. 제 이름은 Isabella
Sayyouba 부인입니다. 저는 튀니지에서 왔고 부르키나 파소에 있는 병원에서 연락을 드리고 있습니다. 당신에게 마음을 여는
감동을 받았기에 이 말밖에는 방법이 없었기에 이 말을 드리고 싶습니다.
저는 2016년 사망하기 전까지 15년 동안 부르키나
파소에서 튀니지 대사와 함께 일했던 사유바 브라운 씨와 결혼했습니다. 
우리는 아이 없이 11년 동안 결혼 생활을 했습니다.
그는 단 3일 동안 지속된 짧은 병 끝에 사망했습니다.
그의 죽음 이후. 나는 재혼하지 않기로 했다. 고인이 된 남편이 살아
있을 때 850만 달러를 예치했다. (850만 달러) 서아프리카 부르키나파소의 수도 와가두구의 한 은행. 현재 이 돈은 여전히
은행에 있습니다. 그는 부르키나 파소 광산에서 금을 수출하여 이 돈을 사용할 수 있게 했습니다.
최근에 의사는 혈액암과 출혈성 뇌졸중으로 인해 7개월을 버티지 못할 것이라고 말했습니다. 내 상태를 알고 난 당신에게 이 돈을
넘겨주어 소외된 사람들을 돌보기로 결정했습니다.
총 금액의 30퍼센트를 개인 용도로 가져가시기 바랍니다. 돈의 70%는
돌아가신 남편의 이름으로 고아원을 짓는 데 사용할 것입니다.
그리고 거리의 가난한 사람들을 도와주세요. 저는 고아로 자랐고
가족이 아무도 없어서 하나님의 집을 유지하기 위해 노력했습니다.
돌아가신 남편의 소원을 들어 이렇게 하고 있습니다. 이 질병은
저에게 많은 영향을 미쳤습니다. 나는 살아있는 죽음과 같습니다.
답장을 받자마자 부르키나파소에 있는 은행의 연락처를 알려주고 은행 관리자에게 위임장을 발행하여 귀하가 은행에 있는 돈의 현재
수취인임을 증명하도록 지시할 것입니다.
따라서 내가 여기에 진술한 대로.
귀하의 긴급한 대응이 필요합니다
감사해요
이사벨라 사유바 부인에게서

한마디로 기능 은행에 돈이 있는데 내 남편이 금을 수출하는 데 사용하고 싶고 자신이 병에 걸려 있고 나는 고아원을 지을 것이고 가난한 사람 돕기다고 하면서 돈을 저한테 준다는 내용인 것을 알 수가 있습니다. 그리고 한국어 자체가 이상한 것을 확인할 수가 있습니다. 물론 일반인이면 이런 이메일을 보면 사기인 것을 확인할 수가 있을 것입니다.
스팸 메일 보낸 사람 주소는 다음과 같습니다.

isabellasayouba0@gmail(.)com

그리고 해당 메일의 해더를 보면 다음과 같습니다.

Received-SPF: pass (mx.daum(.)net: domain of babasoule5@gmail(.)com designates 209.85.219(.)65 as permitted sender)
X-Hanmail-Peer-IP: 209.85.219(.)65
X-Hanmail-Env-From: babasoule5@gmail(.)com
X-Hanmail-Class: W
X-Kakaomail-MID: Cl1kLAAAQ0YAAAGH3fCMkAAvGWI=
X-Hermes-Message-Id: r434T1s3c242888641
Received: from mail-qv1-f65.google(.)com ([209.85.219(.)65]) by hermes of dmail-rmail-ayvm53 (10.93.100(.)44) with ESMTP id r434T1s3c242888641 for <@daum(.)net> (version=TLSv1.2 cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256); Wed, 03 May 2023 04:29:02 +0900 (KST)
Received: by mail-qv1-f65.google(.)com with SMTP id 6a1803df08f44-61b6101a1b9so7958916d6.3
        for <@daum(.)net>; Tue, 02 May 2023 12:29:01 -0700 (PDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=20221208; t=1683055739; x=1685647739;
        h=content-transfer-encoding:to:subject:message-id:date:from:sender
         :reply-to:mime-version:from:to:cc:subject:date:message-id:reply-to;
        bh=EbEVolrcr7x0tI3t8KstAj0Wvv5Abd8hKA0fO9M6UHk=;
        b=s3q6YcF9djgwel/uUaHxLWir+DwCtWFkgm6Qc3TBseVzP8OHHvhLYaSFZa3y82gd9C
         S2KQTATeFUHvEHE7Hs4Qqn4V8w1Z1hqpFNkxulAH2qx5kYOyFf4NALoS7Z20T1YEnSwt
         E+YWReK36WRLBTlTpYClxvYClIbpvD/zA+a3MU57ElDny/8RUarAm+hRW3SxtH3iOMR4
         2rhStB7dTJPZO18dUJA9SxQpJunA+fVPdoEfas8bdregjFBq17UhCZgk0JlPqEagrEQh
         NNcSVVDIFS7tjcWPb5SNKCGAVNCIrJ/11/EexDohoMZSDUX4DxzqNX0m5nSNC90Ls3NZ
         d8hg==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20221208; t=1683055739; x=1685647739;
        h=content-transfer-encoding:to:subject:message-id:date:from:sender
         :reply-to:mime-version:x-gm-message-state:from:to:cc:subject:date
         :message-id:reply-to;
        bh=EbEVolrcr7x0tI3t8KstAj0Wvv5Abd8hKA0fO9M6UHk=;
        b=bMhi7u8tgWNuATxibkcKD/c+4rxULsS/XBtGN0kpuSR3f/xyXwXinXu7uKq72eMjW5
         BPfD7kwbRvskO0FQWjSLHQ9r3Sk1WGHKUnD1PYsADAcQwWSY6UR5RGpkWFQqDYKihMDv
         OGuUyXRRo4nlQKRte18p+Ty4j5v5FXULdqf/bOnCJKauqwHpW8G6y/ZBW+z1q3DjyTux
         VUvTYJHhyOKdpfmODcUaxofR2D11+V9q/pFvAD4PNh9oyfruqc23yPWnJSV8u+dd43Wc
         JuJwTJFkcfHDASHV77SpsglxO+hFjdiW0apYQBX+5yAW043js6znNJpthYhUv7eAajoM
         /RzA==
X-Gm-Message-State: AC+VfDxGZ6nB8tm39VMw1b+iaqJoTWu8ltYhPSRQYu1n4m1epKtWvuxE
	o8o/p8qss5VqarBmQehWVvc0G3DmB3cRk1kdILs=
X-Google-Smtp-Source: ACHHUZ4BrneLsywrxe13qqxQZUvQm3zoCwCn2ysXY6A+8LAZEDn7dPr+YM1dUkUJLZlq8/Ky+zdPJ7+PZgywfiphYC8=

로맨스 스캠 메일 이메일 헤더

입니다.
그럼 보기 쉽게 Cerbero Suite Advanced 로 eml 파일을 열어 줍니다.
먼저 ARC-Seal 및 ARC-Message-Signature 헤더는 
이메일의 인증 및 무결성을 확인하는 데 사용

Cerbero Suite Advanced 본 로맨스 스캠 이메일 헤더

Received:from mail-qv1-f65.google(.)com ([209.85.219(.)65]) by hermes of dmail-rmail-ayvm53 (10.93.100(.)44) with ESMTP id r434T1s3c242888641 for <@daum(.)net> (version=TLSv1.2 cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256);  Wed, 03 May 2023 04:29:02 +0900 (KST)
자기 자신이 mail-qv1-f65.google(.)com ([209.85.219(.)65]) 라고 언급한 호스트 발신 호스트에서 수신 호스트에게 “HI  호스트이름” 또는 “HIHI 호스트이름” 형식으로 알려주는 역할이며 해당 부분을 통해서 알 수 있는 것은 로부터 메일을 수신하였다는 의미
실제 IP:mail-qv1-f65.google(.)com ([209.85.219(.)65]) 즉 209.85.219(.)65 이라는 IP 주소를 확인할 수가 있으며 만약 Reverse DNS 질의를 했을 때 응답이 없으면 공란으로 나옴
Received:by mail-qv1-f65.google(.)com with SMTP id 6a1803df08f44-61b6101a1b9so7958916d6(.)3
for <?????@daum.net>;  Tue, 02 May 2023 12:29:01 -0700 (PDT)
메일을 수신한 호스트는 ail-qv1-f65.google(.)com 이라는 것을 확인할 수가 있습니다. Tue, 02 May 2023 12:29:01 -0700 (PDT)"는 태평양 표준시(UTC-7) 사용을 하고 있으며 이것을 한국시각으로 변환하며 Wed, 03 May 2023 04:29:01 +0900
메일을 수신한 호스트는 mail-qv1-f65.google(.)com
이라는 것을 확인할 수가 있습니다. 그리고 esmtp 프로토콜을 통해 수신하는 호스트에서 해당 메시지를 구별하려고 r434T1s3c242888641 이라는 ID 발급받은 것으로 확인할 수가 있습니다.
Content-Transfer-Encoding:base64

[소프트웨어 팁/보안 및 분석] - 로맨스 스캠(Romance scam) 이란?

로맨스 스캠(Romance scam) 이란?

해당 시간대를 사용하는 국가 도시 들은 다음과 같습니다.
미국
캘리포니아주
워싱턴주
오리건주 (맬히어 제외)
네바다주 (웨스터 웬도버, 잭팟 제외)
아이다호주 북부
애리조나주는 산악 표준시(UTC-7)에 들어가지만 서머 타임을 실행 안함 즉 태평양 표준시에서 서머 타임을 실시하면 같은 시간대
캐나다
브리티시컬럼비아주 (일부 지역 제외)
유콘 준주
노스웨스트 준주 텅스텐 지역
멕시코
바하칼리포르니아주
해당 이메일은 완벽하게 로맨스 스캠 인 관계로 그냥 무시하면 끝입니다. 괜히 답변해주면 피곤해집니다.