로맨스 스캠-친애하는 하나님의 선택..(2023.06.08)

오늘은 친애하는 하나님의 선택.. 이라는 로맨스 스캠을 분석을 해보겠습니다.
로맨스 스캠(Romance scam) 이란 라는 주제로 한번 글을 적어 보겠습니다. 개인적으로 블로그에 이메일을 등록하고 나서부터 계속 로맨스 스캠(Romance scam) 이라는 것이 오고 있어서 이번 기회에 한번 글을 적어 보게 되었습니다.
로맨스 스캠 이라는 이성적 관심을 가장하여 피해자의 관심을 얻어 그들의 호의를 이용하는 범죄입니다. 물론 이메일만 오는 것이 아니고 페이스북을 통해서도 뜬금없이 자신이 프로필 사진을 남자, 여자로 해놓은 반대가 되는 성별이 팔로우를 하게 되고 채팅을 시도하면 갑자기 너 어디 사니 너 마음에 든다는 이야기를 해서 사기 치려고 하는 것을 볼 수가 있습니다.일단 해당 메일은 이사벨라 사유바 부인 인데 제목을 바꾸고 해당 메일이 왔습니다.
일단 내용은 다음과 같습니다.

친애하는 하나님의 선택.. 로맨스 스캠 내용

친애하는 하나님의 선택..
나는 내 눈의 무거운 눈물과 내 마음의 큰 슬픔으로 이 편지를 당신에게 쓰고 있습니다. 
제 이름은 Isabella
Sayyouba 부인입니다. 저는 튀니지에서 왔고 부르키나 파소에 있는 병원에서 연락을 드리고 있습니다. 당신에게 마음을 여는
감동을 받았기에 이 말밖에는 방법이 없었기에 이 말을 드리고 싶습니다.
저는 2016년 사망하기 전까지 15년 동안 부르키나
파소에서 튀니지 대사와 함께 일했던 사유바 브라운 씨와 결혼했습니다. 
우리는 아이 없이 11년 동안 결혼 생활을 했습니다.
그는 단 3일 동안 지속된 짧은 병 끝에 사망했습니다. 그의 죽음 이후. 나는 재혼하지 않기로 했다. 고인이 된 남편이 살아
있을 때 850만 달러를 예치했다. (850만 달러) 서아프리카 부르키나파소의 수도 와가두구의 한 은행. 현재 이 돈은 여전히
은행에 있습니다. 그는 부르키나 파소 광산에서 금을 수출하여 이 돈을 사용할 수 있게 했습니다.
최근에 의사는 혈액암과 출혈성 뇌졸중으로 인해 7개월을 버티지 못할 것이라고 말했습니다. 
내 상태를 알고 난 당신에게 이 돈을
넘겨주어 소외된 사람들을 돌보기로 결정했습니다.
총액의 30퍼센트를 개인적인 용도로 가져가시기 바랍니다. 돈의 70%는
돌아가신 남편의 이름으로 고아원을 짓는 데 사용할 것입니다. 
그리고 거리의 가난한 사람들을 도와주세요. 저는 고아로 자랐고
가족이 아무도 없어서 하나님의 집을 유지하기 위해 노력했습니다. 
돌아가신 남편의 소원을 들어 이렇게 하고 있습니다. 이 질병은
저에게 많은 영향을 미쳤습니다. 나는 살아있는 죽음과 같습니다.
답장을 받자마자 부르키나파소에 있는 은행의 연락처를 알려주고
은행 관리자에게 위임장을 발행하여 귀하가 은행에 있는 돈의 현재
수취인임을 증명하도록 지시할 것입니다. 따라서 내가 여기에 진술한 대로.
나는 눈물과 슬픔 속에서 당신의 글을 기다리고 있습니다.
감사해요
Isabella Sayyouba 부인에게서.

한마디로 혈액암과 출혈성 뇌졸중으로 인해 7개월을 버티지 못할 것임 그러니 너 이돈 갖고 싶지 답변을 주면 서로 답장을 하면서 너의 돈을 내가 갈취 할것임 이라는 의도를 포함을 하고 있는 피싱 메일 입니다.
그럼 보기 쉽게 Cerbero Suite Advanced 로 eml 파일을 열어 줍니다.
해더 내용은 다음과 같습니다.

로맨스 스캠 메일 헤더 보기

Received-SPF:pass (mx.daum(.)net: domain of mrs.noelaouedrag@gmail(.)com 
designates 209.85.128(.)174 as permitted sender)
X-Hanmail-Peer-IP:209.85.128(.)174
X-Hanmail-Env-From:mrs.noelaouedrag@gmail(.)com
X-Hanmail-Class	W
X-Kakaomail-MID:Cl1gKQAAFgoAAAGIl8zZKgBHCIY
X-Hermes-Message-Id:r586dOMZr1749686769
Received:from mail-yw1-f174.google(.)com ([209.85.128(.)174]) 
by hermes of dmail-rmail-ayvm103 (10.93.96(.)41) with ESMTP id r586dOMZr1749686769 
for <????@daum(.)net> (version=TLSv1.2 cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256); 
Thu, 08 Jun 2023 06:39:24 +0900 (KST)
Received:by mail-yw1-f174.google(.)com with 
SMTP id 00721157ae682-56874a2b2ffso7395087b3.0
for <?????@daum(.)net>;  Wed, 07 Jun 2023 14:39:23 -0700 (PDT)
DKIM-Signature	v=1; a="rsa-sha256"; c="relaxed/relaxed"; d="gmail(.)com"; 
s="20221208"; t="1686173962"; x="1688765962";
h="content-transfer-encoding:to:subject:message-id:date:from:sender
:reply-to:mime-version:from:to:cc:subject:date:message-id:reply-to"; 
bh="xbh8sheNRzhbyUXslnB2D7TjGnn8BC0O/oDKqn8xkZc="; 
b="ZSRj3YQUb18DQpeXutX72gUAiSzEKOL74+P6S8wyqKXJBot/Y8DGrOHPuu/qVA3bwL
783YaDXwZ8/Evqrhf7CL8zPJS6g3VMg5IlqWBK4JYb6ganu+1rgP2kfE/vA4JVUNG4Yw
skkalZh/WFC70aHa9as03rwfnmo3Ke8640IxJXLzj6C9EDn7ttkxsceZVF8T1sxPrUdz
Lw1fKWGB0guog5CRhKwQAW9Pbp0q93GglD4UNU3SpwlWWgxd98vthc8wfTFy8mgkiwui
wbZsryDJq/NgdoR2SJAWIJmL3AUliCJIQVckXVlATKe9Lc2SguptPFSntKKSewzb2pvj
5mpA=="
X-Google-DKIM-Signature	v=1; a="rsa-sha256"; c="relaxed/relaxed"; d="1e100(.)net"; s="20221208"; t="1686173962"; x="1688765962"; h="content-transfer-encoding:to:subject:message-id:date:from:sender
:reply-to:mime-version:x-gm-message-state:from:to:cc:subject:date
:message-id:reply-to"; bh="xbh8sheNRzhbyUXslnB2D7TjGnn8BC0O/oDKqn8xkZc="; b="LmbyrhMG/3C/NN7wtZ6fqNFDK00VFItJMNhc2CLqScGBIJ4OtdJNmU41szmt0ZGSW1
HClDXuNHEAbJllGDgj2R47dCvneOm7IrVyfigNTXh9fJ5XDghCYJ1NZt3aYK6VaGC/7Q
yHW34U+Zf3oG8wH15w9yFuLRqLPC+UsuVPKsgW85LVl5wNiAv9WykK5CXPpNbJllEn1z
ZzkKax2lkR4T0IlA8m6zNTDJUGAjCMRfbC2R1ddmvQG52+PUdj/L7HkmXk2D+pMTGiwA
XOuQ=="
X-Gm-Message-State	AC+VfDy4ElN5bcCICxwmK00iWcX05rLhtRPRsPpB0q8ejsE3vlJmEKrd
iQybWh8j00NtsPsd0/uDsTI5We+FCJrZ6cxSaWg
X-Google-Smtp-SourceACHHUZ6Es2K0VobLT86p5tlMub9Fg3j9a66eTGB+qz9azo+X0kvgAS9H1OWzZt9OspmJydWxW1Mb3M15OJ8TeR2Gfew
X-Received:by 2002:a81:4b4d:0:b0:569:c4be:3f6d with SMTP id
 y74-20020a814b4d000000b00569c4be3f6dmr3090331ywa.5.1686173961760;  Wed, 07 Jun
 2023 14:39:21 -0700 (PDT)
MIME-Version:1.0
Reply-To:isabellasayouba0@gmail(.)com
Sender:mrs.noelaouedrag@gmail(.)com
Received:by 2002:a05:7010:a791:b0:35e:4837:e49b with HTTP;  Wed, 7 Jun 2023
14:39:21 -0700 (PDT)
From:Mrs Isabella Sayouba <isabellasayouba0@gmail(.)com>
Date:Thu, 8 Jun 2023 03:09:21 +0530
X-Google-Sender-Auth:ieFuwbUWJ_2E4iBfpN0_O9vqUcg
Message-ID:<CAD7Nqce-kucQi5M3RjUUf-W7BvSJ-EqpB9W-2dBCR7b71tcuTA@mail.gmail(.)com>
Subject	친애하는 하나님의 선택..
To:undisclosed-recipients:
Content-Type:text/plain; charset="UTF-8"
Content-Transfer-Encoding:base64
Bcc:?????@daum(.)net

먼저 ARC-Seal 및 ARC-Message-Signature 헤더는 
이메일의 인증 및 무결성을 확인하는 데 사용
Received:from mail-yw1-f174.google(.)com ([209.85.128(.)174]) by hermes of dmail-rmail-ayvm103 (10.93.96(.)41) with ESMTP id r586dOMZr1749686769 for <????@daum(.)net> (version=TLSv1.2 cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256);  Thu, 08 Jun 2023 06:39:24 +0900 (KST)
자기 자신이 mail-yw1-f174.google(.)com ([209.85.128(.)174]) 라고 언급한 호스트 발신 호스트에서 수신 호스트에게 “HI  호스트이름” 또는 “HIHI 호스트이름” 형식으로 알려주는 역할이며 해당 부분을 통해서 알 수 있는 것은 로부터 메일을 수신하였다는 의미
X-Hanmail-Peer-IP:209.85.128(.)174
이라는 IP 주소를 확인할 수가 있으며 만약 Reverse DNS 질의를 했을 때 응답이 없으면 공란으로 나옴
Received by mail-yw1-f174.google(.)com with SMTP id 00721157ae682-56874a2b2ffso7395087b3.0
        for <?????@daum(.)net>;  Wed, 07 Jun 2023 14:39:23 -0700 (PDT)
메일을 수신한 호스트는 mail-yw1-f174.google(.)com 이라는 것을 확인할 수가 있습니다.
Wed, 07 Jun 2023 14:39:23 -0700 (PDT)를 한국시각으로 변환하면 다음과 같이 2023년 6월 8일 목요일 오전 6시 39분 23초인 것을 확인할 수가 있습니다.
메일을 수신한 호스트는 Received from mail-yw1-f174.google(.)com ([209.85.128(.)174])
그리고 esmtp 프로토콜을 통해 수신하는 호스트에서 해당 메시지를 구별하려고 r586dOMZr1749686769 이라는 ID 발급받은 것으로 확인할 수가 있습니다.
Content-Transfer-Encoding:base64 즉 베이스 64로 돼 있다.
해당 시간대를 사용하는 국가 도시 들은 다음과 같습니다.
미국
캘리포니아주
워싱턴주
오리건주 (맬히어 제외)
네바다주 (웨스터 웬도버, 잭팟 제외)
아이다호주 북부
애리조나주는 산악 표준시(UTC-7)에 들어가지만 서머 타임을 실행 안함 즉 태평양 표준시에서 서머 타임을 실시하면 같은 시간대
캐나다
브리티시컬럼비아주 (일부 지역 제외)
유콘 준주
노스웨스트 준주 텅스텐 지역
멕시코
바하칼리포르니아주
해당 이메일은 완벽하게 로맨스 스캠 인 관계로 그냥 무시하면 끝이며 계속 이런 메일을 받기 싫은 분들은 그냥 스팸으로 보내어서 해당 메일을 차단을 해버리는 것을 추천합니다. 괜히 답변해주면 피곤해집니다.