Mail trusler med kompromitterende videoer

November 30, 2018

Af Allan Høiberg, A.H. Computing, http://www.ahc.dk

 

Har du modtaget en email med trusler om kompromitterende videoer, hvis ikke du betaler en masse penge?

 

 

Jeg har et par gange på det sidste oplevet at kunder og bekendte - og nu jeg selv - har modtaget en mail i stil med den, jeg citerer nedenfor.

 

I nogle tilfælde indeholder den en gammel adgangskode, man ved, man har brugt ét eller andet sted, så troværdigheden er skræmmende høj.

 

Derfor tænker jeg, det kan være hjælpsomt at være forberedt, hvis ikke man allerede har set en af de advarsler, der har været ude i medierne.

 

Kort fortalt er det flere gange sket, at en eller anden hjemmeside er blevet "hacket" og hackerne har stjålet en liste over brugernavne og adgangskoder.

 

Hjemmesiden kan være hvad som helst fra store verdensomspændende tjenester over netbutikker til små forumservere hvor man diskuterer forskellige emner. Det er ikke så afgørende - det vigtige hér er at en liste med brugernavne (som regel email-adresser) og deres adgangskoder på netop dén specifikke side nu befinder sig i kløerne på kriminelle elementer.

 

De kriminelle sender en mail til alle fra listen som f.eks. kan indeholde en trussel som nedenstående, tilføjet "for at du ved, vi ikke bare finder på det, er hér din adgangskode som bevis på at vi ved ALT om dig: Koden er 1234".

 

Problemet er som regel at man har glemt hvor man brugte netop dén kode, og derfor virker truslen pludselig reel.

 

Det er den ikke - men det siger sig selv at man skal have overvejet, hvor man mon kan have brugt dén kode, og så ændret den alle steder.

 

Man skal også tage det som et vink med en vognstang om, ikke at bruge samme kode mere end ét sted.

Det er besværligt, men temmelig vigtigt - hvis man bruger samme email og adgangskode til et lille lokalt forum om hundemad som man gør til sin konto hos Apple, Google eller andre vigtige steder, er der alt for kort vej fra at nogen hacker hundeforumet til at de "ejer" din iPhone fordi de kan logge ind på en ellers sikker tjeneste ved hjælp af den samme adgangskode som forumsystemet ikke formåede at passe godt nok på. Og det er ingen kritik af forumer; det er også set ske den omvendte vej.

 

Endelig kan det være en god ide at dobbeltsikre kritiske konti med det, der hedder to-faktor-login, 2FA eller andre begreber i samme stil.

Tanken dér er at adgangskoden ikke er nok til at komme ind, hvis man prøver at komme ind fra et sted man ikke plejer.

Typisk vil systemer, der tilbyder det, være lavet så de sender en mail eller SMS når man forsøger at logge ind et nyt sted fra - så for at komme ind skal man ikke kun have stjålet/gættet/afluret en adgangskode, man skal også have sin telefon eller adgang til sin email. Hvis man ikke har det, kommer man ikke ind. Tjek om jeres kritiske systemer tilbyder 2FA, og overvej alvorligt at tage det i brug.

 

Tilbage til mailen nedenfor. Den forsøger (dog uden at nævne min adgangskode) at afpresse mig ved at fortælle at hackeren allerede har fuld kontrol over min computer, har alle mine kontakter og "naturligvis" en video af mig i færd med at besøge pinlige hjemmesider.

 

Hvis jeg betaler en masse penge til en anonym Bitcoin-modtager, lover hackeren "på ære" at destruere det kompromitterende materiale, og hvis ikke vil det i stedet blive sendt til alle mine kontakter. Endelig er mailen sendt fra min egen adresse som et bevis på at de har fuld kontrol over min maskine.

 

Tilsammen kan disse ting få alt for mange til at komme tilstrækkeligt meget i tvivl til, ikke at turde risikere noget. Man har jo hørt om et enkelt ægte tilfælde, så.... Lad os kigge på det.

 

For det første: I det ægte tilfælde, der var fremme, fik offeret også en video med som bevis på at der rent faktisk var blevet optaget noget.

 

For det andet: Offeret i det ægte tilfælde havde is nok i maven til at erkende at man nok ikke slipper for afpresning ved at betale afpresserne.

Han valgte i stedet, selv at sende besked til alle sine kontakter om at der nok ville komme en video, som man gjorde sig selv den største tjeneste ved, ikke at se.

 

Det har uden tvivl været noget af en overvindelse, men alternativet har højst sandsynligt været en lind strøm af stadigt stigende krav om flere penge indtil det alligevel blev umuligt.

 

Hvorfor er mailen nedenfor så ikke ægte, når nu det er sket i virkeligheden?

Først og fremmest kan alle og enhver et langt stykke ad vejen så at sige klistre en vilkårlig afsenderadresse på en email.

 

Nogle gange tjekker mailservere om afsenderen er forfalsket, men i mange tilfælde gør den ikke. Med andre ord er det, at mailen er sendt med min egen adresse, ikke bevis på at den er sendt fra min computer på nogen måde. Der findes tekniske oplysninger "bagved", man kan grave i for at undersøge det nærmere, men det vigtige er at afsenderadressen ikke er et bevis for noget.

 

Det samme gælder som sagt hvis der er en adgangskode, man kun selv burde kende, i mailen - som forklaret ovenfor vil den typisk stamme fra en tjeneste "ude i byen" hvor man har brugt koden sammen med sin email-adresse.

 

--------
GØR-DET-SELV 1: Hjemmesiden haveibeenpwned.com er et godt værktøj: Hér kan man indtaste sin emailadresse, og siden vil så fortælle om den optræder på en af de "lækkede" lister af adresser og adgangskoder, "hackerne" deler indbyrdes. Hvis den er dér, er det et godt bevis på at koden stammer "udefra".
--------

 

Så er der de konkrete trusler: Hackeren har set at man har besøgt "intime" hjemmesider - dén del kan punktere truslen for en dels vedkommende. Dels fordi man aldrig har været på den slags sider, og dels fordi - om man har eller ej - man har brugt en stationær computer eller en anden maskine uden kamera. Overvej selv for dit eget vedkommende.

 

MEN! Der er ikke et eneste kompromitterende billede med mailen, vel? Hvorfor ikke, mon, hvis afsenderen mener det alvorligt?

 

Endelig er der kravet om betaling. Den unikke kode, der peger på afpresserens digitale pung, er 1H9bS7Zb6LEANLkM8yiF8EsoGEtMEeLFvC i denne mail - google det en gang, og se hvor mange andre der har modtaget samme besked.

Jeg fik 208 resultater - og den ene til en side fyldt med omkring 90 forskellige formuleringer af lignende trusler.

 

Hvorfor Bitcoin? Fordi det efter sigende er 100% anonymt. Det eneste du har til at identificere modtageren, er teksten "1H9bS7Zb6LEANLkM8yiF8EsoGEtMEeLFvC" - og hvis du betaler, er din egen lige så kryptiske kode det eneste, modtageren af pengene har til at identificere dig med.

 

Kan du se problemet? I mit tilfælde er der sendt trusselsbreve til over 200 modtagere - og det er kun dem, der har gidet skrive om det på en hjemmeside så Google kan finde det - men der er ingen måde, hvorpå afpresseren rent faktisk kan se, hvilken af de mange ofre der har betalt.

Eneste realistiske metode ville være at give hvert offer et separat beløb - men Bitcoin-prisen i dollar svinger lige så hurtigt som aktier, så i praksis kan modtageren kun sammenligne et beløb ved at vide, præcis hvor og hvornår du har vekslet dollar til Bitcoin.

 

============================================


> -----Oprindelig meddelelse-----
> Fra: ***********
> Sendt: 17. november 2018 16:09
> Til: . **********
> Emne: '*********** - this account has been hacked! Change all your passwords!

> Hello!

> I have bad news for you.
> 19/07/2018 - on this day I hacked your operating system and 
> got full access to your account ahc@***********

> It is useless to change the password, my malware intercepts 
> it every time.

> How it was:
> In the software of the router to which you were connected 
> that day, there was a vulnerability.
> I first hacked this router and placed my malicious code on it.
> When you entered in the Internet, my trojan was installed on 
> the operating system of your device.

> After that, I made a full dump of your disk (I have all your 
> address book, history of viewing sites, all files, phone 
> numbers and addresses of all your contacts).

> A month ago, I wanted to lock your device and ask for a small 
> amount of money to unlock.
> But I looked at the sites that you regularly visit, and came 
> to the big delight of your favorite resources.
> I'm talking about sites for adults.

> I want to say - you are a big, big pervert. You have 
> unbridled fantasy!!!

> After that, an idea came to my mind.
> I made a screenshot of the intimate website where you have 
> fun (you know what it is about, right?).
> After that, I made a screenshot of your joys (using the 
> camera of your device) and joined all together.
> It turned out beautifully, do not doubt.

> I am strongly belive that you would not like to show these 
> pictures to your relatives, friends or colleagues.
> I think $718 is a very small amount for my silence.
> Besides, I spent a lot of time on you!

> I accept money only in Bitcoins.
> My BTC wallet: 1H9bS7Zb6LEANLkM8yiF8EsoGEtMEeLFvC

> You do not know how to replenish a Bitcoin wallet?
> In any search engine write "how to send money to btc wallet".
> It's easier than send money to a credit card!

> For payment you have a little more than two days (exactly 50 hours).
> Do not worry, the timer will start at the moment when you 
> open this letter. Yes, yes .. it has already started!

> After payment, my virus and dirty photos with you 
> self-destruct automatically.
> Narrative, if I do not receive the specified amount from you, 
> then your device will be blocked, and all your contacts will 
> receive a photos with your "joys".

> I want you to be prudent.
> - Do not try to find and destroy my virus! (All your data is 
> already uploaded to a remote server)
> - Do not try to contact me (this is not feasible, I sent you 
> an email from your account)
> - Various security services will not help you; formatting a 
> disk or destroying a device will not help either, since your 
> data is already on a remote server.

> P.S. I guarantee you that I will not disturb you again after 
> payment, as you are not my single victim.
> This is a hacker code of honor.

> >From now on, I advise you to use good antiviruses and update 
> them regularly (several times a day)!

> Don't be mad at me, everyone has their own work.
> Farewell.

 

 

 

 

Share on Facebook
Share on Twitter
Please reload

FACEBOOK SUPPORT
 
Udvalgte blogindlæg

Meet the New Portal Family: Smart Video Calling on Your TV and Anywhere in Your Home

September 26, 2019

1/3
Please reload

Introducing Facebook News

November 19, 2019

Shop With Your ❤️ on Instagram

November 17, 2019

1/3
Please reload