25.7.2018 09:30 | Bezpečnosť

Sextortion: E-mailoví vydierači strašia po novom. Aj heslom obete

Ilustračná snímka (zdroj: istockphoto.com)
Pozor na nový podvod (Ilustračná snímka). Zdroj: istockphoto.com

Útočník získa heslo obete z minulosti. Následne tvrdí, že ju nachytal pri prezeraní obsahu pre dospelých.

Internetom sa v posledných týždňoch šíri nový podvod, ktorý sa snaží e-mailom vylákať výkupné v podobe kryptomeny bitcoin.

Útočníci v ňom obeť strašia, že ju nachytali pri prezeraní pornostránok a pokiaľ im nezaplatí, jej príbuzným a známym zašlú usvedčujúcu videonahrávku.

Tu je vaše heslo

Ako v priebehu júla upozornil bezpečnostný expert Brian Krebs, samotná praktika zvaná „sextortion“ (od anglického slova extortion – vydieranie) nie je nová. Výraz sa dokonca datuje už od roku 1950. Novinkou nie je ani samotná e-mailová podoba podvodu, ktorý internetom koluje už dávno.

Teraz však útočníci svojim obetiam zasielajú jedno z ich skutočných hesiel, čím sa ich snažia presvedčiť, že hrozba je reálna. Opakujeme – nie je, ide o podvod.

Heslo vydieranej osoby sa môže nachádzať napríklad v predmete zaslanej správy, vďaka čomu obeť ihneď spozornie. Útočník v e-maile tvrdí, že infikoval malvérom (škodlivým kódom) úmyselne bližšie nešpecifikovanú stránku pre dospelých, ktorú mala obeť údajne navštíviť.

Jeden z podvodných textov, ktorý koluje internetom. fotogaléria / 2
Jeden z podvodných textov, ktorý koluje internetom. Zdroj: čitateľ Živé.sk

Videl som vás, zaplaťte

Záškodnícky softvér sa vraj dostal do počítača obete a slúžil na prístup k obrazovke návštevníka, ale aj ako keylogger, teda na odchytávanie stlačených znakov na klávesnici. Vďaka tomu má údajne útočník prístup ku kontaktom z Facebooku, Messengera či samotného e-mailu obete. Navyše, hacker vraj urobil video, ktoré sa skladá z dvoch záberov – z obsahu premietaného na monitore a súčasne zo záznamu webkamery počítača obete.

Tá dostane dve možnosti. Ignorovať správu pod hrozbou, že záškodník (pochopiteľne neexistujúce) video zverejní alebo zaplatiť drahé výkupné, avšak kryptomenou bitcoin.

„Budeme tomu hovoriť príspevok. V takom prípade ihneď odstránim tvoje video. Môžeš naďalej pokračovať vo svojom dennom režime, akoby sa nič nestalo – a o mne viac v živote nebudeš počuť,“ uvádza sa v podvodom e-maile.

„Ak bitcoiny nedostanem, tvoje video určite zašlem všetkým tvojim kontaktom vrátane priateľov, rodiny, kolegov a tak ďalej,“ dodáva podvodník.

Tlačí ich čas

Obeť má na zaslanie výkupného 24 hodín. Útočník ju straší, že e-mail špeciálne upravil a preto vie o otvorení a prečítaní odkazu – čas jej tak už má plynúť.

Presnejšie: hovorí o pridaní miniobrázku, ktorého načítaním sa útočník dozvie o prečítaní. Podľa zdrojového kódu získaného Živé.sk ho e-mail vôbec neobsahuje.

Výsledok kontroly po zadaní „notorického“ hesla 123456 (zdroj: redakcia)
Čítajte aj Zoznam hesiel, ktoré by ste nemali nikdy použiť. Je ich 320 miliónov

V prípadoch, ktoré zdokumentoval Brian Krebs, podvodníci využili heslá, ktoré cielené osoby už roky nepoužívali. Predpokladá, že pochádzajú zo staršieho úniku dát nejakej z internetových služieb.

Rovnako tomu bolo aj v prípade čitateľa Živé.sk, ktorý sa s podobným e-mailom stretol. Heslo nepoužíva už niekoľko rokov.

Pokiaľ podobný e-mail dostanete, môžete sa pokúsiť zistiť, či heslo z neho už figurovalo v niektorom z predošlých únikov dát. Stačí, keď ho zadáte do webového formulára na stránkach bezpečnostného experta Troya Hunta. Ten už roky pracuje na vlastnej databáze dát, získaných hackermi.

Za čitateľský tip ďakujeme. Na článku spolupracoval Filip Hanker.

Diskusia 17 Príspevkov