Op dit moment zien we allerlei soorten e-mails waarin met seksuele afpersing wordt gedreigd. Deze zwendel is goedkoop uit te voeren, eenvoudig te automatiseren en blijkbaar winstgevend genoeg dat cybercriminelen er steeds weer gebruik van blijven maken. Sommige criminelen steken meer moeite in hun berichten dan anderen.
E-mails met seksuele chantage zijn berichten waarin oplichters beweren dat ze je via je webcam hebben gefilmd terwijl je naar pornografie keek, en waarin ze nu geld eisen. Dit fenomeen bestaat al jaren en blijft zich ontwikkelen door kleine aanpassingen in de bewoordingen en valse technische details.
Wat niet is veranderd, is de fundamentele waarheid: er is geen malware, geen opname en geen geloofwaardig bewijs achter deze dreiging. Hoewel ik in de loop der jaren talloze versies van deze e-mails heb gezien, ben ik er nog nooit een tegengekomen die werd gestaafd door het bewijs dat de afzender beweerde te hebben.
Hieronder nemen we de e-mail regel voor regel door, waarbij we het verhaal van de oplichter onderbreken met toelichtingen die uitleggen waar de beweringen vandaan komen en waarom ze bij nader inzien niet kloppen.
“Hoi!
Het spijt me u dit trieste nieuws te moeten melden. Ongeveer een maand of twee geleden ben ik erin geslaagd volledige toegang te krijgen tot al uw apparaten die u gebruikt om op internet te surfen. Sindsdien houd ik uw internetactiviteiten voortdurend in de gaten.”
De inleiding zet de toon.Total tot al je apparaten” is meteen een alarmsignaal, omdat dit uiterst onwaarschijnlijk en technisch gezien vaag is. Echte aanvallers zijn doorgaans specifieker over waar ze toegang toe hebben gekregen (welk apparaat, welk besturingssysteem, welke app), terwijl oplichters het bewust vaag houden, zodat iedereen kan denken dat het op hem of haar van toepassing is.
“Go ahead and take a look at the sequence of events provided below for your reference: Initially I bought an exclusive access from hackers to a long list of email accounts (in today’s world, that is really a common thing, which can arranged via internet). Evidently, it wasn’t hard for me to proceed with logging in your email account (<REDACTED_EMAIL>). “
Hier beweert de oplichter toegang te hebben gekocht tot een „lange lijst met e-mailaccounts”. Dat is een verdraaide verwijzing naar echte Initial Access Brokers (IAB’s) en markten voor inloggegevens, waar criminelen gestolen wachtwoorden of sessietokens verhandelen. In deze e-mail worden echter geen wachtwoord, inlogtijdstip of IP-adres vermeld – alleen een e-mailadres dat ze al kenden. Er is dus geen daadwerkelijk bewijs van account-overname of -inbreuk.
“In dezelfde week ben ik verder gegaan met het installeren van een Trojaans virus in de besturingssystemen van alle apparaten die je gebruikt om in te loggen op je e-mail. Eerlijk gezegd was dat voor mij helemaal geen moeilijke klus (aangezien je zo vriendelijk was om eerder op een aantal links in je e-mails te klikken). Ja, er zijn genieën onder ons.”
De bewering over het „Trojaanse virus“ doet denken aan wat we bij andere sextortion-campagnes hebben gezien, waarbij willekeurige malwarefamilies of exploits worden genoemd om geloofwaardig over te komen. Ook hier wordt geen specifieke naam van malware, bestandspad of exploit genoemd – alleen een algemeen verhaal dat bedoeld is om iedereen die ooit op een link heeft geklikt, bang te maken.
“Dankzij deze trojan heb ik toegang tot alle besturingselementen van je apparaten (zoals je videocamera, toetsenbord, microfoon en andere). Daardoor heb ik moeiteloos alle gegevens, zoals foto’s, je browsegeschiedenis en andere soorten gegevens, naar mijn servers gedownload. Bovendien heb ik toegang tot alle sociale-media-accounts die je regelmatig gebruikt, inclusief e-mails, chatgeschiedenis, berichtenapps, contactenlijst enzovoort. Mijn unieke virus werkt zijn handtekeningen voortdurend bij (dankzij besturing door een driver) en blijft daardoor onopgemerkt door alle soorten antivirusprogramma’s.”
In dit gedeelte wordt geprobeerd een technische indruk te wekken door termen als ‘controllers’, ‘drivers’ en ‘het vernieuwen van handtekeningen’ te noemen. Maar dit is helemaal niet hoe beveiligingsproducten of malware in werkelijkheid werken. Moderne Trojaanse paarden en spyware maken weliswaar gebruikvandrivers, mechanismen om in het systeem te blijven of versleuteling, maar beweringen als‘elk type antivirusprogramma’en ‘het onophoudelijk vernieuwenvande handtekeningen’ zijn pure bluf, gericht op lezers zonder technische kennis.
“Daarom denk ik dat je inmiddels wel begrijpt waarom ik tot aan deze brief altijd onopgemerkt ben gebleven… “
Deze zin probeert een grote tegenstrijdigheid weg te redeneren. Als de aanvaller werkelijk volledige controle had en het slachtoffer al „een maand of twee“ in de gaten hield, waarom bestaat het enige bewijs dan uit een e-mail zonder logbestanden, schermafbeeldingen of een voorbeeldvideo? Als iemand daadwerkelijk compromitterend materiaal in zijn bezit heeft, zal hij op zijn minst enig bewijs leveren, want alleen zo worden slachtoffers gedwongen het serieus te nemen.
“Tijdens het verzamelen van al het materiaal dat met jou te maken heeft, is het me ook opgevallen dat je een groot fan en regelmatige bezoeker bent van websites met schunnige inhoud voor volwassenen. Het blijkt dat je er echt van houdt om pornosites te bezoeken, spannende video’s te bekijken en onvergetelijke genoegens te beleven. Ik kon de verleiding zelfs niet weerstaan om bepaalde schunnige solo-scènes met jou in de hoofdrol op te nemen, en heb later een paar video’s geproduceerd waarin je masturbatie- en klaarscènes te zien zijn.”
Hier komt de klassieke sextortion-truc: „Ik heb je gefilmd terwijl je naar porno keek.” We zien al sinds minstens 2018 variaties op deze formulering, die vaak woord voor woord wordt hergebruikt in grootschalige spamcampagnes. De zwendel speelt in op schaamte en angst in plaats van op technische geloofwaardigheid. Het doel is om slachtoffers in paniek te brengen, zodat ze gaan betalen.
“Als je me tot nu toe nog niet gelooft, heb ik maar één of twee muisklikken nodig om al die video’s te maken met iedereen die je kent, inclusief je vrienden, collega’s, familieleden en anderen. Bovendien kan ik al die videocontent online zetten, zodat iedereen het kan zien.”
Let nogmaals op het gebrek aan bewijs. Er is geen voorbeeldafbeelding, geen voorbeeldvideo, geen vermelding van een specifiek socialemedia-account – alleen een dreigement om het naar „iedereen die je kent“ te sturen. Het is opzettelijk vaag gehouden. Hetzelfde bericht moet werken voor miljoenen ontvangers met totaal verschillende sociale kringen.
“Ik denk oprecht dat je zeker niet zou willen dat dergelijke incidenten plaatsvinden; gezien de wellustige beelden in de video’s die je vaak bekijkt (je weet absoluut wat ik daarmee bedoel), zal dit enorme problemen voor je veroorzaken. Er is nog steeds een oplossing voor deze kwestie, en dit is wat je moet doen: je maakt een betaling van 1490 USD over naar mijn rekening (een equivalent in bitcoins, vastgesteld op basis van de wisselkoers op de datum van de overboeking), en zodra ik de overboeking heb ontvangen, zal ik al die wellustige video’s onmiddellijk en zonder uitstel verwijderen. Daarna kunnen we het zo laten lijken alsof er eerder niets is gebeurd. Bovendien kan ik bevestigen dat alle Trojaanse software zal worden uitgeschakeld en verwijderd van alle apparaten die je gebruikt. Je hoeft je nergens zorgen over te maken, want ik houd me altijd aan mijn woord.”
De prijs en de betaalmethode – iets minder dan 1.500 dollar, te betalen in Bitcoin – zijn typerend voor dit soort oplichting. Cryptovaluta is populair bij oplichters omdat betalingen moeilijk ongedaan kunnen worden gemaakt en snel kunnen worden overgemaakt. Ondanks zijn reputatie is Bitcoin niet anoniem, en de politie heeft al veel criminele transacties met succes kunnen traceren.
“That is indeed a beneficial bargain that comes with a relatively reduced price, taking into consideration that your profile and traffic were under close monitoring during a long time frame. If you are still unclear regarding how to buy and perform transactions with bitcoins – everything is available online. Below is my bitcoin wallet for your further reference: <REDACTED_ACCOUNT> All you have is 48 hours and the countdown begins once this email is opened (in other words 2 days).”
Korte deadlines en aftelteksten zijn psychologische drukmiddelen, geen technische realiteiten. Oplichters willen dat je in paniek raakt en niet nadenkt, want een rustige lezer heeft meer kans om de gaten in het verhaal te ontdekken.
“De volgende lijst bevat zaken die je in gedachten moet houden en die je moet vermijden:
> Het heeft geen zin om op mijn e-mail te reageren (aangezien deze e-mail en het afzenderadres in jouw inbox zijn aangemaakt).
> Het heeft ook geen zin om de politie of andere beveiligingsdiensten te bellen. Probeer bovendien deze informatie in geen geval met je vrienden te delen. Als ik erachter kom (gezien mijn vaardigheden zal dat heel eenvoudig zijn, want ik heb de controle over al je systemen en houd ze continu in de gaten) – zal je schunnige filmpje onmiddellijk openbaar worden gemaakt.
> Het heeft ook geen zin om naar mij op zoek te gaan – dat zal niets opleveren. Transacties met cryptovaluta zijn volledig anoniem en onvindbaar.
> Het heeft geen zin om je besturingssysteem op apparaten opnieuw te installeren of ze weg te gooien. Dat lost het probleem niet op, aangezien alle filmpjes waarin jij de hoofdrol speelt al zijn geüpload naar externe servers.”
Dit gedeelte gaat in feite over het afweren van bezwaren. De oplichter anticipeert op veelvoorkomende reacties – met iemand praten, de politie bellen, je systeem opnieuw installeren – en probeert deze te ontkrachten. De bewering dat het e-mailadres „in je inbox is aangemaakt” is bijzonder veelzeggend. Het is een poging om een algemeen afzenderadres te laten lijken op bewijs dat je account is gehackt.
“Zaken die je misschien zorgen baren:
> Die overschrijving zal niet bij mij aankomen. Haal rustig adem, ik kan alles meteen traceren, dus zodra de overschrijving is voltooid, weet ik het zeker, aangezien ik al je activiteiten voortdurend volg (mijn Trojaanse virus bestuurt alle processen op afstand, net als TeamViewer).”
Het noemen van TeamViewer, een legitieme tool voor toegang op afstand, is een andere tactiek die we in recente sextortion-e-mails hebben gezien. Hiermee kan de oplichter zijn verhaal koppelen aan iets waar gebruikers wellicht van hebben gehoord of dat ze op het werk hebben gebruikt. Er is echter nog steeds geen bewijs van toegang op afstand, en de bewering dat de malware „alle processen controleert” gaat voorbij aan de manier waarop echte besturingssystemen en beveiligingsmaatregelen werken.
“> Dat je video’s zullen worden verspreid, ook al heb je de geldoverboeking naar mijn wallet voltooid. Geloof me, het heeft voor mij geen zin om je nog lastig te vallen nadat de overboeking is gelukt. Bovendien, als dat ooit deel had uitgemaakt van mijn plan, dan had ik dat al veel eerder gedaan! We gaan dit op een duidelijke manier aanpakken en oplossen! Tot slot wil ik je nog één ding aanraden… zorg er na dit voorval voor dat je niet meer in soortgelijke onaangename situaties terechtkomt! Mijn advies: zorg ervoor dat je al je wachtwoorden regelmatig vervangt door nieuwe.”
Het afsluiten met veiligheidsadvies is een manipulatieve truc. Door nuttige aanbevelingen te doen, probeert de oplichter geloofwaardig en betrouwbaar over te komen in plaats van als een crimineel. Dit verandert echter niets aan het feit dat de e-mail geen enkel bewijs bevat dat de beweringen waar zijn.
Hoe moet je reageren op e-mails waarin je wordt gechanteerd met seksueel getinte foto’s of video’s?
Dit voorbeeld is buitengewoon slecht geschreven, maar veel e-mails met seksuele chantage zijn veel beter opgesteld en overtuigender. Hoe professioneel ze er ook uitzien, ze moeten allemaal op dezelfde manier worden behandeld: als ongefundeerde dreigementen die bedoeld zijn om slachtoffers bang te maken zodat ze gaan betalen.
- Allereerst: beantwoord dit soort e-mails nooit. Door te reageren bevestig je dat er iemand actief de berichten leest die naar dat adres worden gestuurd, en dat kan aanleiding geven tot verdere pogingen tot oplichting.
- Laat je niet overhaasten om actie te ondernemen of beslissingen te nemen. Oplichters rekenen erop dat je niet de tijd neemt om er goed over na te denken en daardoor fouten maakt. Vraag om advies als je twijfelt.
- Een bijlage is geen bewijs. De meeste e-mails met seksuele chantage bevatten helemaal geen bewijs, en cybercriminelen gebruiken bijlagen vaak om malware te verspreiden of hun dreigementen overtuigender te laten lijken.
- Als de e-mail een wachtwoord bevat dat je eerder hebt gebruikt, wijzig dit dan onmiddellijk op alle plaatsen waar het nog in gebruik is. Schakel vervolgens waar mogelijk tweefactorauthenticatie in. Als je moeite hebt met het ordenen van je wachtwoorden, overweeg dan om eenwachtwoordbeheerder te gebruiken.
- Verwijder het bericht, meld het als spam en ga verder.
Hoewel deze e-mails met seksuele chantage bijna altijd bluf zijn, kan Malwarebytes Monitoring je waarschuwen wanneer programma’s toegang tot je camera proberen te krijgen, mocht je je zorgen maken over spionage via de webcam.
