오늘은 비트코인 을 공짜로 송금을 받아서 사용자의 비트코인을 강탈하기 위해서 제작된 해킹 협박 메일(혹스 메일)을 분석을 해 보겠습니다.
일단 해당 메일 Hoax mail(혹스 메일)이며 거짓 정보를 토대로 메일을 보내 사용자를 속이는 방식의 협박성 사기 매일이며 개인적으로는 우연히 스팸 메일을 뒤지다가 발견한 이메일 있었습니다. 일단 기본적으로 패턴은 너~성X 사이트 접속을 한 것을 알고 있다. 너 불법적인 영상물을 보았으니 기록에 남겨서 박제하기 전에 비토코인을 보내면 해당 접속 기록 삭제해줄게. 이런 식 비트코인을 요구하는 해킹 협박 메일, 혹스 메일을 보내는 일이 늘어나고 있습니다. 이를 대처하는 방법에 대해 알아봅시다.
기본적으로 이메일 제목과 내용은 다음과 같습니다.
Hi!
Sadly, there are some bad news that you are about to hear.
About few months ago I have gained a full access to all devices used by you for
internet browsing.
Shortly after, I started recording all internet activities done by you.
Below is the sequence of events of how that happened:
Earlier I purchased from hackers a unique access to diversified email accounts
(at the moment, it is really easy to do using internet).
As you can see, I managed to log in to your email account without breaking a sweat:
(?????@naver(.)com).
Within one week afterwards, I installed a Trojan virus in your Operating Systems
available on all devices that you utilize for logging in your email.
To be frank, it was somewhat a very easy task (since you were kind enough to open some of links provided in your inbox emails).
I know, you may be thinking now that I'm a genius.....'')
With help of that useful software, I am now able to gain access to
all the controllers located in your devices
(e.g., video camera, keyboard, microphone and others).
As result, managed to download all your photos, personal data,
history of web browsing and other info to my servers without any problems.
Moreover, I now have access to all accounts in your messengers,
social networks, emails, contacts list, chat history - you name it.
My Trojan virus continues refreshing its signatures in
a non-stop manner (because it is operated by driver),
hence it remains undetected by any antivirus software installed in your PC or device.
So, I guess now you finally understand the reason why
I could never be caught until this very letter...
During the process of your personal info compilation,
I could not help but notice that you are a huge admirer
and regular guest of websites with adult content.
You endure a lot of pleasure while checking out po?n websites, watching nasty
po?n movies and reaching breathtaking orgasms.
Let me be frank with you, it was really hard to resist from recording
some of those naughty solo scenes with you in main role
and compiling them in special videos that expose your masturbation sessions,
which end with you cumming.
In case if you still have doubts, all I need is to click
my mouse and all those nasty videos with you will be shared to friends,
colleagues, and relatives of yours.
Moreover, nothing stops me from uploading all that hot content online,
so all public can watch it too.
I sincerely hope, you would really not prefer that to happen,
keeping in mind all the dirty things you like to watch,
(you certainly know what I mean) it will completely ruin your reputation.
However, don't worry, there is still a way to resolve this:
You need to carry out a $1450 USD transfer to my wallet
(equivalent amount in bitcoins depending on exchange rate at the moment of funds transfer),
hence upon receiving the transaction, I will proceed with deleting
all the filthy videos with you in main role.
Afterwards, we can forget about this unpleasant accident.
Furthermore, I guarantee that all the malicious software will also
be erased from your devices and accounts. Mark my words, I never lie.
That is a great bargain with a low price,
I assure you, because I have spent a lot of effort while recording
and tracking down all your activities and dirty deeds during a long period of time.
In case if you have no idea how to buy and transfer bitcoins
- feel free to check the related info on the internet.
Here is my bitcoin wallet for your reference:16cL1oche ApPSihj LMNLv EUATS4u 33s111
Attention please! I have specified my Bitcoin wallet with spaces,
please make sure that you key-in my bitcoin address without
spaces to be sure that your coins successfully reach my wallet!
From now on, you have only 48 hours and countdown has started
once you opened this very email (in other words, 2 days).
The following list contains things you should definitely abstain
from doing or even attempting:
~>> Abstain from trying to reply this email (since the email is
generated inside your inbox alongside with return address).
~>> Abstain from trying to call or report to police or any other security services.
In addition, it's a bad idea if you want to share it with your
friends, hoping they would help.
If I happen to find out (knowing my awesome skills, it can be done effortlessly,
because I have all your devices and accounts under my control and unceasing observation) -???? videos of yours will be share to public the same day.
~>> Abstain from trying to look for me - that would not lead anywhere either.
Cryptocurrency transactions are absolutely anonymous and cannot be tracked.
~>> Abstain from reinstalling your OS on devices or throwing them away.
That would not solve the problem as well, since all your personal
videos are already uploaded and stored at remote servers.
Things you may be confused about:
~>> That your funds transfer won't be delivered to me.
Chill, I can track down any transactions right away, so upon funds
transfer I will receive a notification as well,
since I still control your devices (my trojan virus has ability of
controlling all processes remotely, just like TeamViewer).
~>> That I am going to share your dirty videos after receiving
money transfer from you.
Here you need to trust me, because there is absolutely no point
to still bother you after receiving money.
Moreover, if I really wanted all those videos would be available
to public long time ago!
I believe we can still handle this situation on fair terms!
Here is my last advice to you... in future you better ensure
you stay away from this kind of situations!
My advice - don't forget to regularly update your passwords to feel completely secure.
이고 해당 부분을 번역하면 다음과 같이 될 것입니다.
안녕!
안타깝게도 곧 듣게 될 나쁜 소식이 있습니다.
약 몇 달 전에 저는 귀하가 인터넷 검색에 사용하는 모든 장치에 대한 전체 액세스 권한을 얻었습니다.
얼마 지나지 않아 나는 당신이 행한 모든 인터넷 활동을 기록하기 시작했습니다.
다음은 그 일이 어떻게 일어났는지에 대한 일련의 사건입니다.
이전에 저는 해커들로부터 다양한 이메일 계정에 대한 고유한 액세스 권한을 구입했습니다
(현재는 인터넷을 사용하여 정말 쉽습니다.).
보시다시피 저는 힘들이지 않고 귀하의 이메일 계정에 로그인할 수 있었습니다: (?????@naver(.)com).
그 후 일주일 이내에 저는 귀하가 이메일 로그인에 사용하는
모든 장치에서 사용할 수 있는 운영 체제에 트로이 목마 바이러스를 설치했습니다.
솔직히 말해서 그것은 다소 매우 쉬운 작업이었습니다
(받은 편지함 이메일에 제공된 링크 중 일부를 친절하게 열었기 때문에).
알아요, 이제 제가 천재라고 생각하실 수도 있겠네요......'')
그 유용한 소프트웨어의 도움으로 이제 귀하의 장치에 있는 모든 컨트롤러에 액세스할 수 있습니다.
(예: 비디오 카메라, 키보드, 마이크 등)
그 결과 모든 사진, 개인 데이터, 웹 검색 기록 및 기타 정보를 문제없이
내 서버에 다운로드할 수 있었습니다.
게다가 이제 저는 여러분의 메신저, 소셜 네트워크,
이메일, 연락처 목록, 채팅 기록 등 모든 계정에 접근할 수 있습니다.
내 트로이 목마 바이러스는 끊임없이 서명을 새로 고치고 있습니다
(드라이버에 의해 작동되기 때문에).
따라서 PC나 장치에 설치된 바이러스 백신 소프트웨어에서는 탐지되지 않은 상태로 유지됩니다.
그러니까, 이제야 당신은 바로 이 편지가 오기 전까지는
내가 절대 잡히지 않았던 이유를 이해하셨을 것 같습니다...
귀하의 개인정보 수집 과정에서
나는 당신이 성인용 콘텐츠가 포함된 웹사이트의
열렬한 팬이자 단골 손님이라는 사실을 눈치 채지 않을 수 없었습니다.
포?노 웹사이트를 확인하고, 불쾌한 포?노 영화를 보고,
숨 막히는 오르가즘에 도달하는 동안 많은 즐거움을 견뎌냅니다.
솔직히 말해서, 당신이 주연을 맡은 장난스러운
솔로 장면을 녹음하는 것을 거부하기가 정말 어려웠습니다.
그리고 당신의 자위 세션을 노출하는 특별한 비디오로 편집하고 커밍으로 끝납니다.
여전히 의심스러우시다면 마우스를 클릭하기만 하면 됩니다.
그러면 당신과 함께 찍은 불쾌한 동영상이 모두 친구들에게 공유될 것입니다.
동료, 친척.
더욱이, 그 어떤 것도 내가 그 모든 인기 콘텐츠를 온라인에
업로드하는 것을 막지 못하므로 모든 대중도 이를 볼 수 있습니다.
나는 진심으로 당신이 보고 싶은 모든 더러운 것들을 염두에
두고 그런 일이 일어나는 것을 정말로 원하지 않기를 바랍니다.
(무슨 말인지 아시겠지만) 그것은 당신의 평판을 완전히 망칠 것입니다.
하지만, 걱정하지 마세요. 이 문제를 해결하는 방법이 아직 남아 있습니다.
내 지갑으로 $1450 USD를 이체해야 합니다(자금 이체 시점의 환율에 따라 비트코인으로 해당 금액).
따라서 거래가 접수되면 귀하가 주연을 맡은 더러운 영상을 모두 삭제하는 작업을 진행하겠습니다.
그러면 우리는 이 불쾌한 사고를 잊어버릴 수 있습니다.
또한, 모든 악성 소프트웨어도 귀하의 장치와 계정에서 삭제될 것임을 보장합니다.
내 말을 명심하세요. 나는 절대 거짓말을 하지 않습니다.
저렴한 가격에 엄청난 할인이네요,
나는 오랫동안 여러분의 모든 활동과 더러운 행위를 기록하고 추적하는 데
많은 노력을 기울였기 때문에 확신합니다.
비트코인 구매 및 전송 방법을 모르신다면 인터넷에서 관련 정보를 확인해 보세요.
참고하실 수 있는 제 비트코인 지갑은 다음과 같습니다: 16cL1oche AppPSihj LMNLv EUATS4u 33s111
주의해주세요! 저는 비트코인 지갑을 공백으로 지정했습니다.
귀하의 코인이 내 지갑에 성공적으로 도착할 수 있도록
공백 없이 내 비트코인 주소를 입력했는지 확인하세요!
지금부터 당신에게 남은 시간은 48시간뿐이며 이 이메일을 열면 카운트다운이 시작됩니다(즉, 2일).
다음 목록에는 확실히 삼가야 할 일이나 시도조차 하지 말아야 할 일이 포함되어 있습니다.
~>> 이 이메일에 답장을 보내지 마세요(이메일은 반송 주소와 함께 받은 편지함 내부에 생성되므로).
~>> 경찰이나 기타 보안 서비스에 전화하거나 신고하는 것을 삼가세요.
또한, 친구들이 도움되길 바라면서 이를 공유하고 싶다면 좋지 않은 생각입니다.
우연히 알게 되면 (나의 뛰어난 실력을 알면 쉽게 할 수 있고,
왜냐하면, 나는 당신의 모든 장치와 계정을 내가 통제하고 끊임없이 관찰하고 있기 때문입니다)
-???? 귀하의 동영상은 같은 날 공개적으로 공유됩니다.
~>> 나를 찾으려는 시도를 자제하세요. 그것도 아무 데도 연결되지 않을 것입니다.
암호화폐 거래는 완전히 익명이며 추적할 수 없습니다.
~>> 기기에 OS를 재설치하거나 버리지 마세요.
모든 개인 비디오가 이미 원격 서버에 올리기 되어 저장되어 있기 때문에 문제도 해결되지 않습니다.
혼란스러울 수 있는 사항:
~>> 귀하의 송금액이 저에게 전달되지 않습니다.
진정하세요. 모든 거래를 바로 추적할 수 있으므로 자금 이체 시 알림도 받게 됩니다.
왜냐하면, 나는 여전히 당신의 장치를 제어하기 때문입니다
(제 트로이 목마 바이러스는 TeamViewer처럼 모든 프로세스를 원격에서 제어할 수 있습니다.).
~>> 당신에게서 송금을 받고 당신의 음란한 동영상을 공유하겠다는 것입니다.
여기서는 나를 믿어야 합니다. 돈을 받고 여전히 귀찮게 할 이유가 전혀 없기 때문입니다.
게다가 내가 정말로 원했다면 그 모든 영상은 오래전에 공개되었을 것입니다!
저는 우리가 이 상황을 공정한 조건으로 처리할 수 있다고 믿습니다!
이것이 당신에게 드리는 마지막 조언입니다. 앞으로는 이런 상황을 피하는 것이 좋습니다!
내 조언 - 완전히 안전하다고 느끼려면 비밀번호를 정기적으로 업데이트하는 것을 잊지 마십시오.
블록체인 info 를 통해서 해당 비트코인 지갑 주소를 넣어보면 받은 총계은 다행인 것은 0입니다.
[소프트웨어 팁/보안 및 분석] - 비트코인 해킹 협박 메일(혹스 메일)대처 및 분석-in2 getdrip com(2023.03.03)
이메일 헤더 내용
ARC-Seal: i=1; a=rsa-sha256; d=naver.com; s=arc-20180730; t=1698074659; cv=none; b=k/lLJBMboooZQmUp3xCwnjyy1+SjC/1lM72apujsUy7qhucku3fMm9WuF+C6 6ZNk+vHKly4ETaP6q18FgwpOlCEgGL1J0BfSO(T)hKWIn6G6y7MhP5/qkHCEC9PfmdoEv8OK NVjqFVRmwOLLeS0Vhrk798I1EGyXIY+ZReipNV/GYRYF151Z2tMOOXrIQe8GhFQyTgsGwP qyBNFQ6sv+65MYyIPcxOar6+RBsu4MmZbuHZMvbJ(s)9f0ewyW2uG53Q7sTci1S2RFIsZiO5 GrDfhbIsG0m2zVlFToN0mHxUidVd7w(Y)BvC3EySVVL0WegBOthoVrqPDsTbYIxK5bBQ++/a mA==
ARC-Message-Signature: i=1; a=rsa-sha256; d=naver.com; s=arc-20180730; t=1698074659; c=relaxed/relaxed; bh=svPt9O7htJi8mXdfY4xbMhrH0RKkBY(1)BRxF40LyJu/4=; h=from:to:date:subject:message-id; b=Pu4KCPYJ(N)HgDWFmLeUCD2Xpob2wPKjuhau 1y0PnT00DwnrpY1WLFqmPOXZxmuATmO15GRu4oEJAPrQ7HI80UnfIa(i)ioCyd0lcaM6GbdE zVOwGvm6noLer9/K8zer6w/XcWV7NpZp9Y1BRylRtuTlNJWB4LgGvQ(r)1iS1XQuJLOKS4z0 PgOW8HIlf30J3uOCBOtdoE1/TAGpnIXH0C8BVcNOKyVV1QMDYY25t//48(k0)QBHUMpKAQUvn 1sio2hmq6D708p780gHmkoptOOULY6bMpzXrtNpJdvPsTIxHzSdmGQIGblmWg(C0)mrh7khha ukJnUWrlCbB(v)ZDQqQIAvixpLgBeg==
ARC-Authentication-Results: i=1; mx.naver(.)com; spf=softfail (mx(.)naver(.)com: domain of transitioning ??????@naver(.)com does not designate 196.185.150(.)175 as permitted sender) smtp.mailfrom=????@naver(.)com; dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=naver(.)com
Return-Path: <?????@naver(.)com>
X-Suspicious-Sender: yes
X-WM-Dns-Ptr: none
Received-SPF: softfail (mx.naver.com: domain of transitioning ????@naver(.)com does not designate 196.185.150(.)175 as permitted sender) client-ip=196.185.150(.)175; x-iptype=default;
Authentication-Results: mx(.)naver(.)com; spf=softfail (mx(.)naver(.)com: domain of transitioning ??????@naver(.)com does not designate 196.185.150(.)175 as permitted sender) smtp.mailfrom=????@naver(.)com; dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=naver(.)com
X-Naver-ESV: w9+n+6(J)4p63qjAUw7BwdWrpdp4JGWHmwFxUdKx0YkXm=
X-Session-IP: 196.185.150(.)175
Received: from [196.185.150(.)175] ([196.185.150(.)175]) by crcvmail201(.)nm.naver(.)com with ESMTP id LhNOxpUoQY2wt+XhXa9IVw for <????@naver(.)com>; Mon, 23 Oct 2023 15:24:19 -0000
From: ?????@naver(.)com
To: "????" <???@naver(.)com>
Date: 23 Oct 2023 18:11:17 +0100
MIME-Version: 1.0
Subject: There is an overdue payment under your name. Please, settle your debts ASAP.
Message-ID: <6536AC41.6951.624FA2@????.naver(.)com>
Priority: Normal
X-mailer: Pegasus Mail for Windows (4.52)
Content-type: text/plain; charset="iso-8859-15"
Content-transfer-encoding: 8BIT
Content-description: Mail message body
이메일 헤더 분석
해당 이메일의 SPF와 DMARC 결과를 보며 기술들이 보안 검증에서 실패한 것을 볼수가 있음 여기서 각각에 대한 문제를 설명
1.SPF (Sender Policy Framework) 결과:
spf=softfail:SPF의 결과로 softfail이 표시
이는 발신자 도메인(naver(.)com)의 SPF 레코드에 따라 이메일이 올바른 서버에서 발송되지 않았다는 것을 나타냄
client-ip=196.185(.)150(.)175: 실제로 이메일이 오류를 일으킨 IP 주소는 196.185.150(.)175
그러나 SPF는 해당 IP 주소를 허용하지 않는 것으로 표시되어 있음
[소프트웨어 팁/보안 및 분석] - 윈도우 11,윈도우 10 사용자 몰래 켜지는 웹캠 경고 기능 켜는 방법
2.DMARC (Domain-based Message Authentication, Reporting, and Conformance) 결과:
dmarc=fail:DMARC의 결과로 fail이 표시
해당 DMARC 정책에서 허용되지 않는 이메일이 발견되었다는 것을 나타냄
header.from=naver(.)com:이메일의 From 헤더에 표시된 도메인은 naver(.)com
하지만, DMARC 결과에서 이 도메인에 대한 인증이 실패했음을 나타냄
즉 해당 결과는 이메일이 네이버 도메인에서 온 것처럼 위장되었거나 스푸핑되었다는 가능성이 있음을 나타내며 SPF와 DMARC는 이메일의 출처를 확인하고 이를 검증하는 데 사용되는 보안 메커니즘 따라서 이러한 실패는 해당 이메일이 신뢰할 수 없는 소스에서 온 것으로 간주하여야 함
Return-Path:
송신자의 이메일 주소:????@naver(.)com
Received:
이메일 수신 정보, 보낸 사람의 IP 주소 등을 나타냄
Subject:
이메일 제목: There is an overdue payment under your name. Please, settle your debts ASAP.
Message Content:
메시지 내용은 There is an overdue payment under your name. Please, settle your debts ASAP
X-Suspicious-Sender:
yes로 표시되어 수신자에게 의심스러운 발신자임을 알림
X-Session-IP:
세션 IP 주소:196.185.150(.)175
Authentication-Results:
SPF 및 DMARC 검증 결과를 다시 표시
[소프트웨어 소개] - 노트북 웹캠,노트북 마이크 제어프로그램-Ashampoo WebCam Guard
즉 해당 메일들 특징은 기본적으로 너의 변태적인 행동을 컴퓨터, 노트북 웹캠으로 녹화 그리고 트로이 목마 악성코드를 너를 지켜보고 있었음. 그러니 비트코인 송금해주면 이런 것 없는 것이 될 것임 으로 되어져 있지만 계속 해서 협박으로 돈을 요구하게 될 것입니다. 즉 이런 행동을 안 하는 것도 좋은 방법일 것이며 스마트폰, 컴퓨터, 노트북에서 작동들을 제어하는 것을 확인 및 하고 싶은 경우에는 Ashampoo WebCam Guard 등을 백신 프로그램과 함께 사용을 하는 것을 권장합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
윈도우,macOS,리눅스 맞춤형 개인정보 보호 스크립트-Privacy sexy (0) | 2023.11.17 |
---|---|
윈도우 10 KB5032189,윈도우 11 KB5032190 보안 업데이트 (0) | 2023.11.16 |
Mullvad 공개 암호화 DNS 서버 RAM(램) 에서 실행 (0) | 2023.11.16 |
교통민원24(이파인) 피싱 사이트-app appliveko(2023.10.31) (0) | 2023.11.15 |
북한 라자루스(Lazarus) 산하 BlueNorOff(블루노로프) 만든 맥OS 악성코드-ProcessRequest(2023.11.7) (0) | 2023.11.13 |
북한으로 추측이 되는 대한민국 정책 브리핑 접속 계정 정보 계정 탈취 위한 KB 국민카드 피싱 html 파일-KB_20231030778.html(2023.10.30) (0) | 2023.11.10 |
일본 주민등록증 마이넘버카드(マイナンバーカード) 피싱 사이트-1(.)corre-os(.)top(2032.10.31) (0) | 2023.11.09 |
애플 Find My 네트워크를 악용해 키로그 통한 비밀번호 강탈 가능 (0) | 2023.11.08 |