오늘은 로맨스 스캠 이라는 이성적 관심을 가장하여 피해자의 관심을 얻어 그들의 호의를 이용하는 범죄입니다. 물론 이메일만 오는 것이 아니고 페이스북을 통해서도 뜬금없이 자신이 얼굴 사진을 남자, 여자로 해놓은 반대가 되는 성별이 팔로우를 하게 되고 채팅을 시도하면 갑자기 너 어디 사니 너 마음에 든다는 이야기를 해서 사기 치려고 하는 것을 볼 수가 있습니다. 일단 해당 피싱 메일은 내용은 간단합니다.
나는 미합중국 Christy Walton 여사 임 그런데 기부 상금 청구 제안서를 보냈어 관심이 있으면 답변을 줘~이런 방법입니다.
로맨스 스캠(Romance scammer) 특징은 다음과 같습니다.
1. 얼굴은 보지 도 않아도 처음 만났는데 나는 당신을 사랑합니다.
2. 응급 상황, 병원비 또는 여행을 위해 돈이 필요하다고 대표적으로 것은 다음과 같습니다.
아픈 친척을 부양하려면 돈이 필요합니다.
당신을 방문할 항공료에 대한 단기 대출이 필요합니다.
창업 자금이 필요합니다.
사랑하는 사람의 장례식을 마무리하려면 자금이 필요합니다.
저는 해외 주둔 미군인데 돈이 좀 필요합니다.
이것 페이스북이나 하다 보면 페이스북 메신저롤 오는 것과 비슷할 것입니다.
3. 거짓말 뭐 사람을 속여서 돈을 벌어야 하니까 당연하겠죠
4. 개인 이메일이나 인스턴트 메시징을 사용하여 계속 연락하도록 설득
즉 그냥 모르는 사람이 너~이메일 주소, 너~전화번호 불려봐 하면 이러면 100% 확정
이메일 내용은 다음과 같습니다.
My Dearest,
Greetings to you my dear beloved, am Mrs. Christy Walton a great citizen of
United State of America. I bring to you a proposal of a donation prize claim,
please contact me via my private email for more info: mrswalton@mail2christy(.)com
Thanks
Mrs Christy Walton.
(내 소중한,
친애하는 당신에게 인사드립니다. 미합중국의 훌륭한 시민인 Christy Walton 여사입니다.
기부 상금 청구 제안서를 가져왔습니다.
자세한 내용은 제 개인 이메일(mrswalton@mail2christy(.)com)을 통해 저에게 연락해 주십시오.
감사해요.
크리스티 월튼 부인.)
그리고 피싱 메일 헤더 내용을 보면 다음과 같습니다.
Authentication-Results: w10.tutanota(.)de (dis=neutral; info=spf);
dmarc=pass (dis=neutral p=quarantine; aspf=r; adkim=r; pSrc=config)
header.from=worldlink(.)com(.)np,mx-01.wlink.com.np;
x-trusted-ip=pass
Received: from w4.tutanota(.)de ([192.168.1(.)165])
by tutadb.w10.tutanota(.)de
with SMTP (SubEthaSMTP 3.1.7) id LJLZCH5K; Mon, 03 Jul 2023 00:04:30 +0200 (CEST)
from mx-01-111.wlink(.)com.np
(mx-01-111.wlink(.)com.np
[202.166.193(.)111])
by w4.tutanota.de (Postfix) with ESMTPS id 2CD6E1060247;Sun,2 Jul 2023 22:04:30 +0000 (UTC),
from mx-01.wlink(.)com.np (localhost [127.0.0(.)1])
by mx-01.wlink.com(.)np (Postfix) with ESMTP id 4A80229C66F;Mon,3 Jul 2023 03:41:43 +0545 (+0545),
from localhost (localhost [127.0.0(.)1])
by mx-01.wlink(.)com(.)np (Postfix) with ESMTP id DE17629C66D;Mon,3 Jul 2023 03:41:42 +0545 (+0545),
from mx-01.wlink(.)com.np (localhost [127.0.0(.)1])
by mx-01.wlink(.)com.np (Postfix) with ESMTP id 0EA5129C664;Mon, 3 Jul 2023 03:41:42 +0545 (+0545),
from mail2.worldlink.com(.)np (mail2.worldlink.com(.)np[10.12.7(.)32])
by mx-01.wlink(.)com.np (Postfix) with ESMTP id 3EBD929C673;
Mon, 3 Jul 2023 03:41:41 +0545 (+0545),
from mail3.worldlink(.)com.np (10.21.7(.)149)
by mail2.worldlink(.)com.np (10.12.7(.)32) with
Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
id 15.2.858(.)5; Mon, 3 Jul 2023 03:49:19 +0545,from mail3.worldlink(.)com.np ([10.21.7(.)149]) by mail3.worldlink(.)com.np ([10.21.7.149])
with mapi id 15.02.0858.002; Mon, 3 Jul 2023 03:48:07 +0545
Received-SPF: Pass (mailfrom) identity=mailfrom;
client-ip=202.166(.)193.111; helo=mx-01-111.wlink(.)com.np;
envelope-from=rajan.giri@worldlink(.)com.np; receiver=<UNKNOWN>
X-Virus-Scanned: by SpamTitan at wlink.com.np
From: "Rajan Giri" <rajan.giri@worldlink(.)com.np>
Subject:Donation Prize claim.
Thread-Topic:Donation Prize claim.
Thread-Index: B5QAAAAHrAAAAAecAAAACOQAAAAHvA=
Date: Sun, 2 Jul 2023 22:03:07 +0000
Message-ID: <002fde80da4248cb8f3642281ede4214@worldlink(.)com.np>
Accept-Language:en-US
Content-Language:en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip:[202.79.32(.)185]
MIME-Version: 1.0
이걸 다시 설명을 하면 다음과 같습니다.
다시 한 번 이해를 도우려고 이메일 헤더의 해당 부분을 요약하겠습니다.
Received:from w4.tutanota(.)de ([192.168.1(.)165])
by tutadb.w10.tutanota(.)de with SMTP (SubEthaSMTP 3.1.7)
id LJLZCH5K; Mon, 03 Jul 2023 00:04:30 +0200 (CEST),
from mx-01-111.wlink(.)com.np (mx-01-111.wlink(.)com.np [202.166.193().111])
by w4.tutanota(.)de (Postfix) with ESMTPS id 2CD6E1060247; Sun, 2 Jul 2023 22:04:30 +0000 (UTC)
from mx-01.wlink(.)com.np (localhost [127.0.0(.)1])
by mx-01.wlink(.)com.np (Postfix)
with ESMTP id 4A80229C66F; Mon, 3 Jul 2023 03:41:43 +0545 (+0545),
from localhost (localhost [127.0.0(.)1]) by mx-01.wlink(.)com.np
(Postfix) with ESMTP id DE17629C66D; Mon, 3 Jul 2023 03:41:42 +0545 (+0545)
from mx-01.wlink(.)com.np (localhost [127.0.0(.)1])
by mx-01.wlink(.)com(.)np (Postfix)
with ESMTP id 0EA5129C664; Mon, 3 Jul 2023 03:41:42 +0545 (+0545)
from mail2.worldlink(.)com.np (mail2.worldlink.com.np[10.12.7(.)32])
by mx-01.wlink(.)com.np (Postfix) with ESMTP
id 3EBD929C673; Mon, 3 Jul 2023 03:41:41 +0545 (+0545)
from mail3.worldlink(.)com.np (10.21.7.149)
by mail2.worldlink(.)com.np (10.12.7(.)32)
with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
id 15.2.858.5; Mon, 3 Jul 2023 03:49:19 +0545,
from mail3.worldlink(.)com.np ([10.21.7(.)149]) by mail3.worldlink(.)com.np ([10.21.7(.)149])
with mapi id 15.02.0858(.)002; Mon, 3 Jul 2023 03:48:07 +0545
시간대는 다음과 같이 있음
Mon, 03 Jul 2023 00:04:30 +0200 (CEST):tutadb.w10.tutanota(.)de
서버에서 받은 시간 (중앙 유럽 표준시, UTC+2)
Sun, 2 Jul 2023 22:04:30 +0000 (UTC):w4.tutanota(.)de 서버를 통과한 시간 (협정 세계시, UTC)
Mon, 3 Jul 2023 03:41:43 +0545 (+0545): mx-01.wlink(.)com.np 서버에 도착한 시간 (네팔 시각, UTC+5:45)
Mon, 3 Jul 2023 03:48:07 +0545: mail3.worldlink(.)com.np 서버에서 받은 시간 (네팔 시간, UTC+5:45)
시간대가 여러 개 표시되는 이유는 이메일이 여러 서버 및 네트워크를 거쳐 전달되어서이고 정보는 이메일의 원본, 전송 시간, 경로 등을 확인할 수 있게 해주는데 도움됨
이렇게 하면 다음과 같은 결과를 얻을 수가 있음
여러 시간대를 포함한 이메일 헤더의 정보는 다음과 같은 이점을 제공할 수 있습니다:
이메일 추적: 여러 시간대 정보를 통해 이메일이 어떤 경로를 통해 전달되었는지 추적할 수 있음
이메일의 원본과 전송 경로를 파악하는 데 도움을 줄 수 있음
2.문제 해결: 이메일 전송과정에서 문제가 발생할 때 다양한 시간대 정보를 통해 문제의 원인을 파악할 수 있음
각 서버 및 네트워크에서의 시간 정보를 비교하고 분석해서 전송 지연이나 오류의 원인을 찾을 수 음
3. 안전성 검증: 이메일 헤더의 시간 정보를 통해 이메일의 유효성과 안전성을 검증할 수 있음 해당 부분을 통해서 이메일이 위조되거나 조작되지 않았는지 확인할 수 있습니다.
4. 법적 증거: 이메일 헤더의 시간 정보는 법적인 목적으로 사용될 수 있음 이메일이 전송된 일시와 경로는 필요한 경우 법적인 증거로 활용될 수 있음
따라서, 다양한 시간대 정보를 포함한 이메일 헤더는 이메일의 원본, 전송 경로, 안전성 등을 확인하고 추적하는 데 도움을 주며 문제 해결과 법적인 증거로 활용될 수 있음
여러 시간대가 나타나는 이유는 이메일이 여러 개의 서버를 거쳐 전송되었기 때문입니다. 각 서버는 독립적으로 메일을 처리하고 시간을 기록하기 때문에 시간대가 다르게 표시
로컬 호스트를 나타내는 IP 주소인 127.0.0(.)1 보이고 있고 localhost 라는 호스트 이름과 함께 표시 보통 메일 서버가 자체적으로 메일을 처리하는 데 사용되는 루프백 인터페이스 나타냄 즉, 메일 서버가 자체적으로 메일을 보내고 받는 데 사용하는 로컬 주소 임
이런 메일 받았으며 대책 그냥 삭제하기 전에 그냥 스팸 신고 버튼을 눌러서 다른 사람들도 스팸에 낚이지 않게 할 수가 있음
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
Tutanota 이메일 피싱 메일-ipfs(.)io(2023.7.04) (0) | 2023.07.13 |
---|---|
나토(NATO) 및 우크라이나 지원 그룹을 공격 하는 악성코드-Letter_NATO_Summit_Vilnius_2023_ENG.docx(2023.7.11) (0) | 2023.07.12 |
엑셀로 위장 하고 있는 악성코드-May-290520223.xlsx(2023.7.4) (0) | 2023.07.12 |
계정 변경 이메일 로 유포 되는 피싱 메일-System Notification(2023.7.3) (0) | 2023.07.11 |
모질라 파이어폭스 115.0.1 시작 충돌 수정 (0) | 2023.07.09 |
파일 복구 앱을 위장 하면서 개인정보 전송 하는 악성코드-File Recovery and Data Recovery(2023.07.08) (0) | 2023.07.09 |
엑셀 로 구성이 된 악성코드-DETAIL OF DEPENDENTS(2023.02.14) (0) | 2023.07.07 |
파이어폭스 115(Firefox 115) 보안 업데이트 새로운 기능 추가 (0) | 2023.07.05 |