GregとJussiのメールのやりとり (ソーシャルエンジニアリングってこうやるんだね!)

さっきのエントリが意外と好評だったので、調子にのって連投。(^^;

英語が苦手な方のために、2人のメールの内容を書いておく。


Gregを装った攻撃者(以下、G)と、Jussi(以下、J)のメールのやりとりはこんな感じ。わかりやすいように勝手に補足したりしているので、原文に忠実ではない。また括弧内は私の注意書き。
(下のエントリにも書いたが、Jussiは Nokiaの Chief Security Specialistで、Gregと同じく rootkit.comの root権限をもっている。)


(以下、会話はすべてメールでのやりとり)
G:「今ヨーロッパにいるんだけど、rootkit.comのサーバーに sshでアクセスしたいんだ。ファイアウォールの設定を変更して、59022ポートとかで sshアクセスできるようにしてくれないかな? それと rootのパスワードって、まだ xxxxxxだったっけ? それとも xxxxxxに変えた?」(注:攻撃者は Gregのメールを見ており、過去に設定された rootのパスワードを知っている。)
J:「やあ、グローバルIPはわかる? それともファイアウォールを開けないとダメかな。パスワードは xxxxxだよ。でもリモートから rootでアクセスはできないぜ。」
G:「打ち合わせに出るところで急いでるんだ。グローバルIPはない。僕のパスワードを xxxxxxにリセットしてくれたら、自分で sshでログインしてパスワードを変更できるんだけど。」
J:「わかった。47152ポートを今あけたから、sshでどこからでもアクセスできるよ。自分でもテストしたから多分大丈夫だと思う。君のパスワードはxxxxxにリセットしたよ。僕はいまオンラインだから、何かあったら呼んでくれ。ところでヨーロッパって、フィンランドじゃないよな?」(注:Nokiaフィンランドの会社)
G:「うーん、時間を調整できれば会えるんだけどな。今ドイツにいるんだ。ところで rootkit.comにまだ sshでアクセスできないんだけど。IPアドレスは xxx.xxx.xxx.xxxで変わってないよな?」
J:「今度はどうだい?」
G:「ありがとう、アクセスできたよ。ところでユーザー名 Gregをリセットしたのかい? それとも別のやつ?」(注:攻撃者は GregのユーザーIDを知らない。)
J:「違うよ、君のアカウントは hoglundじゃないか。」
G:「そうだった。ありがとう、ログインできたよ。またあとでメールするよ。」


本人のメールアカウントからメールがくれば、まさか偽物が書いているとはフツー思わないだろう。まあ今回は攻撃者が一枚上手だったということか。