光コラボ詐欺にひっかからないように
・電話契約に関する営業電話は、そもそも疑う。
・PCの遠隔操作 : 断る!
・電話回線の情報 : 教えない! 特に名義!
・NTT請求書の内容 : 教えない!
・転用承諾番号 : 教えない!
勝手にやられた可能性がある場合は、
消費者センターに即相談!
光コラボ詐欺にひっかからないように
・電話契約に関する営業電話は、そもそも疑う。
・PCの遠隔操作 : 断る!
・電話回線の情報 : 教えない! 特に名義!
・NTT請求書の内容 : 教えない!
・転用承諾番号 : 教えない!
勝手にやられた可能性がある場合は、
消費者センターに即相談!
先週の土曜日(2018/11/17)、2回同じ文面できていました。
ちなみに仮想通貨のウォレット番号。
今回:1H9bS7Zb6LEANLkM8yiF8EsoGEtMEeLFvC
参考過去記事
2018/11/08 仮想通貨を要求する詐欺メール10:1NkQMBosJTeN1zs1T4X3QM5BLFX24YPKys(HTMLリンク貼りで騙すつもり?)
2018/10/26 仮想通貨を要求する詐欺メール9
ウォレット番号 1PfbxCJkGNTZC7yFtHHhtPnZyiwQEUqAmu
2018/10/23 仮想通貨を要求する詐欺メール8
ウォレット番号 1BEQ3id3nr2pummerJRiAtZrdGoYHsAwq7
201810/15 仮想通貨を要求する詐欺メール7
ウォレット番号 1G93wR2LDzd2euJ92ePbMGzZ2zpyDRWU4G
2018/10/09 仮想通貨を要求する詐欺メール6
ウォレット番号 1M3uh3QNTxVsK1MqR4cBdqajojUixCiwwq
2018/10/01 仮想通貨を要求する詐欺メール5
ウォレット番号 1ATnJsRDZgtdR362baqLDqQXxX2JUkWhXA
2018/09/28 仮想通貨を要求する詐欺メール4
ウォレット番号 1CPqrZhxjNf28Ub3dzKUAdCUEFeWrN1apk
2018/09/21 仮想通貨を要求する詐欺メール3
ウォレット番号 18UytoFiFoJo9fqJA3T76oPvXHvmEvUMog
2018/09/20 仮想通貨を要求する詐欺メール2
ウォレット番号 19fbzcVjCXSwoCjCfKtjRVHaVrghY7ZmDX
2018/09/19 仮想通貨を要求する詐欺メールが
ウォレット番号 19rq65nR7FqvEgeq3r8YmHGupsUvnD3pmD
文中には会社ブログに記載するには不適切な文言もありますが、
被害にあう人が少なくなるように、あえて晒しておきます。
===================================
From: <自分のメアド>
To: <自分のメアド>
件名: <自分のメアド> - このアカウントはハッキングされています
1回目 送信日時:2018/11/17 14:36 ← 送信日時偽装ですね
2回目 送信日時:2018/11/17 23:17 ← 送信日時偽装ですね
本文: (単純TXTではなく、HTML形式)
親愛なるドメインユーザー (メールのドメイン)!
私はスパイウェアソフトウェア開発者です。
2018年の夏にアカウントがハッキングされました。
私の証拠はここにあります: あなたのアカウントからこのメールをお送りしました。
ハッキングは、オンラインで行ったハードウェアの脆弱性を使用して行われました(Ciscoルータ、脆弱性CVE-2018-0296)。
私はルーターのセキュリティシステムを回り、そこに悪用をインストールしました。
あなたがオンラインになったとき、悪意のあるコード(ルートキット)があなたのデバイスにダウンロードされました。
これはドライバソフトウェアです。私は絶えず更新していますので、あなたのアンチウィルスは常に黙っています。
それ以来、私はあなたに従っています(私はあなたのデバイスにVNCプロトコルで接続できます)。
つまり、あなたがしているすべてのことを絶対に見ることができ、自分のファイルやデータを自分自身に見てダウンロードすることができます。
私はまた、あなたのデバイス上のカメラにアクセスして、定期的にあなたと写真やビデオを撮ります。
現時点では、私は固体の汚れを収穫しています...あなたに...
私はすべてのあなたの電子メールとチャットをメッセンジャーから救った。訪問したサイトの全履歴も保存しました。
私は、パスワードを変更することは役に立たないことに注意します。私のマルウェアは毎回あなたのアカウントのパスワードを更新します。
あなたが大好きなもの(アダルトサイト)を知っています。
ああ、そうです。私は皆から隠れているあなたの秘密の人生を知っています。
ああ、私の神、あなたのようなもの...私はこれを見た...ああ、あなたは汚いいたずらな人... :)
大人のコンテンツであなたの最も情熱的な楽しみの写真やビデオを撮り、カメラの映像とリアルタイムで同期させました。
それは非常に高品質になったと信じて!
だから、ビジネスに!
私は一つのことを確信しています。 あなたはしたくないこの汚れを見せてあなたの連絡先に.
だから私を送る私のビットコインウォレットに551ドル Bitcoin: 1H9bS7Zb6LEANLkM8yiF8EsoGEtMEeLFvC
転送時にウォレット番号をコピーして貼り付けるだけです。
あなたがそれをする方法を知らない場合 - Googleに尋ねる。
私のシステムは翻訳を自動的に認識します。
指定された金額を受け取るとすぐに、私のサーバーからすべてのデータが破棄され、私のrootkitは自己破壊する
心配しないで、私は本当にあなたの立場に落ちた多くの人々と "働いている"ので、私は本当にすべてを削除します。
ルータの脆弱性についてプロバイダに通知するだけで、他のハッカーがそれを使用しないようにする必要があります。
この手紙を開いて以来、あなたは50時間あります。
指定された時間が経過すると、資金が受け取られない場合は、デバイスのディスクがフォーマットされ、
私のサーバーから自動的にあなたの連絡先すべてに電子メールとSMSが送信されます。
私は賢明なままで、ナンセンス(私のサーバー上のすべてのファイル)に従事しないことをお勧めします。
がんばろう!
===================================
今回のメールの特徴ですが、
「Ciscoルータ、脆弱性CVE-2018-0296」
の記述で信ぴょう性を高めようとしているのでしょうね。
あいもかわらず、単純なFrom偽装をしただけで
「私の証拠はここにあります: あなたのアカウントからこのメールをお送りしました。」
と脅しをかけてきています。
今回、弊社に対し発信したと思われるサーバですが、
1回目は、[197.44.94.194] エジプトのようですね。
2回目は、[90.158.105.218] トルコ イスタンブールのようです。
ヘッダ偽装の可能性もあります。
BOTウィルスで一般人のPCが発信元になっている可能性もあります。
ですが、迷惑メールのブラックリストにのっているIPなので間違いないかと。
2件とも、メールヘッダを見ると、送信元から直後のメール中継第一中サーバに転送される際に、不自然な時間のズレがあります。
送信パソコンのシステムタイムを弄るなどの偽装をしているのでしょう。
NTTの専用窓口に申し込むことで、NTT代理店からのしつこい営業電話を有る程度押さえることができます。
(できるはずです できるかも? できたらいいなぁ)
NTT東日本 フレッツ光サービス等の勧誘停止登録の受付について
0120-849-994
https://www.ntt-east.co.jp/info/detail/120201_01.html
NTT西日本 勧誘停止登録ダイヤル
0120-019390
https://www.ntt-west.co.jp/share/inquire.html
弊社もコレに1年以上前に申し込み済みなのですが、今でも2日に1度ぐらいはかかってきますね。
効果がないのか、NTTからの通達を無視する代理店なのか。
それともアルバイトが勝手に電話帳をみてかけてきているのか。
NTTも違反通報の窓口も用意してくれればいいのに。
--- 追記 ---
これ、「光コラボレーション」は、あまり効果ないみたいですね。
コラボ営業の各社が、「NTT代理店」とは限らないみたい。
でも、やらないよりはいいでしょう。
光コラボ勧誘電話にご注意を。
NTTが直接勧誘電話することはまずありません。
最近は「光コラボレーション(ひかりコラボ)」勧誘が頻繁にあります。
大抵の場合は下記のようなセリフが多いですね。
「いつもNTTフレッツ光をご利用いただきありがとうございます。
お客様の回線利用料がお安くなるご連絡です。
~ 略 ~
現在ご利用の機器契約はそのままご利用いただけます。」
----------
昨日、千葉県南房総市の独居老人の方から相談が。
「142で電話転送ができなくなった。
番号非通知の迷惑電話がかかってくる。
料金請求書がコンビニ振込用紙で来る。」
弊社はパソコンOA機器屋であり、NTTではないのですが、昔、家庭用FAXをご購入いただいた経緯がありまして、弊社を頼られたそうです。
訪問し、請求書を確認しましたところ、「光コラボ」にひっかかっていました。
そのご老人、
もともとNTTフレッツ光のひかり電話で下記利用していました。
・ダブルチャンネル&マイナンバー:電話とFAXを別番号で利用。(これが主目的)
更に、お年寄りですので利便性と犯罪対策に
・ボイスワープ
・ナンバーディスプレイ
・ナンバーリクエスト
・迷惑電話お断りサービス
これらオプションがセット割引でお得な「ひかり電話エース」で契約。
参考 https://flets.com/hikaridenwa/service/option.html
なお、インターネットは使っていません。
それが10月下旬頃、「安くなりますよ」電話勧誘にひっかかって、勝手に「光コラボ」に変更されていたようです。
結果、
・ボイスワープは未契約なので、電話転送できない。
・ナンバーリクエストがないので、番号非通知の電話が遮断されない。
といった結果になっています。
また、料金請求がコンビニ払いなのですが、そのご老人宅付近にはコンビニがありません。
何十年も利用していたNTTのときには銀行口座引き落としだったのに、勝手に回線転用されたせいで、
支払いの為にバスorタクシーが必要になっています。
聞いたことが無い会社なので、怖くて口座振替などの手続きも取りたくないし、連絡もとりたくないとのこと。
ネット情報によると、「NTTフレッツ光」から「光コラボ」への移行は、書面を介さずとも電話のやり取りだけで勝手に契約をすすめることが可能なようですね。
その結果今回の事態になったようです。
契約がからむことですので、他県に住むご老人の家族の方に状況説明をし、対応をおまかせするしかありませんでした。
ちなみに ひかりコラボの請求書の名義は大阪の会社「NEXT BB」でした。
大阪の会社が、千葉県南房総の独居老人を.....
---------------
電話回線契約に関する、同様なダマシの事例 関連過去記事
2018/0/22 勧誘での光回線変更に伴う勝手なプロバイダ変更に注意(南房総市お客様の事例記載)
2017/01/24 勧誘「いつもNTT光回線をご利用いただきありがとうございます」 >それは、NTTからとは限らない
2016/05/30 勧誘「回線費用が安くなります!」ちょっと待って!フレッツ光からの回線変更はご注意を
=====追記=======
2018/11/30
息子さんが消費者センターに相談したところ、同様の悪質な事例が多数あったらしく、解約できる方向で話が進んでいるそうです。
しかし、光コラボへの契約変更には「転用承諾番号(転用番号)」が必要なはず。
今回のご老人は自宅電話の「転用番号」なんて知りません。
インターネット環境もないので、「パソコンをリモートコントロールで勝手に・・・」もありえません。
どうやって業者は「転用番号」をごまかしたんでしょうね?
NTT代理店の立場で、フレッツ光顧客情報(フレッツ光のお客さまID、名義、住所等)を入手し、勝手にNTTに転用承諾番号申請し入手したのでしょうか?
まさか毎月のNTTの請求書のコピーを入手したとか?
ともかく、同様事例で困ったら
お近くの消費者センターへご相談
が一番のようです。
本日(2018/11/08)もきましたよ。
多分、私が初めて見る文面。
WEB翻訳あたりを使っているのでしょうけれど、結構いい加減。
html形式を利用し「mailto:」リンクも貼ってありますね。適当ですけど。
ちなみに仮想通貨のウォレット番号。
今回:1NkQMBosJTeN1zs1T4X3QM5BLFX24YPKys
参考過去記事
2018/10/26 仮想通貨を要求する詐欺メール9
ウォレット番号 1PfbxCJkGNTZC7yFtHHhtPnZyiwQEUqAmu
2018/10/23 仮想通貨を要求する詐欺メール8
ウォレット番号 1BEQ3id3nr2pummerJRiAtZrdGoYHsAwq7
201810/15 仮想通貨を要求する詐欺メール7
ウォレット番号 1G93wR2LDzd2euJ92ePbMGzZ2zpyDRWU4G
2018/10/09 仮想通貨を要求する詐欺メール6
ウォレット番号 1M3uh3QNTxVsK1MqR4cBdqajojUixCiwwq
2018/10/01 仮想通貨を要求する詐欺メール5
ウォレット番号 1ATnJsRDZgtdR362baqLDqQXxX2JUkWhXA
2018/09/28 仮想通貨を要求する詐欺メール4
ウォレット番号 1CPqrZhxjNf28Ub3dzKUAdCUEFeWrN1apk
2018/09/21 仮想通貨を要求する詐欺メール3
ウォレット番号 18UytoFiFoJo9fqJA3T76oPvXHvmEvUMog
2018/09/20 仮想通貨を要求する詐欺メール2
ウォレット番号 19fbzcVjCXSwoCjCfKtjRVHaVrghY7ZmDX
2018/09/19 仮想通貨を要求する詐欺メールが
ウォレット番号 19rq65nR7FqvEgeq3r8YmHGupsUvnD3pmD
文中には会社ブログに記載するには不適切な文言もありますが、
被害にあう人が少なくなるように、あえて晒しておきます。
===================================
From: <自分のメアド>
To: <自分のメアド>
件名: AVアラート
送信日時:2018/11/08 15:42 ← 送信日時偽装ですね
本文: (単純TXTではなく、HTML形式)
こんにちは!
あなたは私を知らないかもしれませんし、なぜあなたはこの電子メールを受け取っているのだろうと思っていますか?
この瞬間、私はあなたのアカウント(自分のメアド)をハッキングし、そこからメールを送りました。 私はあなたのデバイスに完全にアクセスできます!
今私はあなたのアカウントにアクセスできます!
実際に、私は大人のvids(ポルノ資料)のウェブサイトにマルウェアを置きました。あなたは何を知っていますか、あなたはこのウェブサイトを訪れて楽しんでいました。
あなたがビデオクリップを見ている間、インターネットブラウザはRDP(Remote Desktop)として動作するようになりました。
それは私にあなたのスクリーンとウェブカメラへのアクセスを提供するキーロガーを持っています。
その直後に、私のソフトウェアプログラムはあなたのメッセンジャー、ソーシャルネットワーク、そして電子メールから連絡先全体を集めました。
私は何をしましたか?
私は二重スクリーンビデオを作った。 最初の部分はあなたが見ていたビデオを表示しています(あなたは良いと奇妙な味を持っている)、2番目の部分はあなたのウェブカメラの記録を示しています。
まさにあなたは何をすべきですか?
まあ、私は$720が私たちの小さな秘密の公正な価格だと信じています。 あなたはBitcoinによる支払いを行います(これはわからない場合は、Googleの「ビットコインの購入方法」を検索してください)。
私のBTC住所: 1NkQMBosJTeN1zs1T4X3QM5BLFX24YPKys
(それはcAsEに敏感なので、コピーして貼り付けてください)
注意:
お支払いを行うには2日以内です。
(この電子メールメッセージには特定のピクセルがあり、この瞬間にこの電子メールメッセージを読んだことがわかります)。
私がBitCoinを手に入れなければ、私は間違いなく、家族や同僚などあなたのすべての連絡先にビデオ録画を送ります。
しかし、私が支払いを受けると、すぐにビデオを破壊します。
これは非交渉可能なオファーですので、このメールメッセージに返信して私の個人的な時間を無駄にしないでください。
次回は注意してください!より良いウイルス対策ソフトウェアを使用してください!
さようなら!
===================================
今回のメールの特徴ですが、3行目の
(自分のメアド)をハッキングし、そこからメールを送りました。
の部分、mailto:自分のメアド のhtmlでリンクを記述していることですね。
ただ、間抜けなことに仮にこれをクリックしてメーラーが起動しても、
宛先to:には「自分のメアド)をハッキングし、そこからメールを送りました。」
がでることです。
まあ、文書後半の「この電子メールメッセージには特定のピクセルがあり 」の信ぴょう性をあげようとして、堪能ではない方を騙すつもりでついでにつけただけなのでしょうけれど。
今回、弊社に対し発信したと思われるサーバは[121.169.227.14]
韓国 ソウルにあるサーバからのようです。
ヘッダ偽装の可能性もあります。
BOTウィルスで一般人のPCが発信元になっている可能性もあります。
ですが、迷惑メールのブラックリストにのっているIPなので間違いないかと。
>送信日時:2018/11/08 15:42
メールヘッダを見ると、送信元から直後のメール中継第一中サーバに転送される際に、不自然な時間のズレがあります。
恐らく実送信された時間は、日本時間で本日(11/8)の06:50頃でしょう。
システムタイムを弄るなどの偽装をしているのでしょう。
====追記=========
2018/11/08 10:00頃 また同じ件名、同じ文面できました。
ウォレット番号も同じです。
あれ?前回よりも文字が大きいかな?と思ったら、
前回はhtml内で指定していた下記を、今回はやめていました。
前回の本文のHTML記載:
HTML HEAD内で、Generator content="Microsoft Word 12 (filtered medium)
styleで指定のフォント
・"Cambria Math" "Calibri","sans-serif"
もしや、前回はMS-Wordで元を作ってHTML出力させたのかな?
発信元(というより、リモート操作による中継元と言うべきか)と思われるIPは[177.37.213.199] サーバはブラジルにありそうです。
>送信日時:2018/11/08 07:51
メールヘッダからシステムタイムを偽装と推測されますが、多分実発信したのは09:57でしょう。