Obecnie obserwujemy różnego rodzaju wiadomości e-mailowe związane z sekstorcją. Oszustwo to jest tanie w realizacji, łatwe do zautomatyzowania i najwyraźniej na tyle dochodowe, że cyberprzestępcy wciąż z niego korzystają. Niektórzy przestępcy wkładają w tworzenie swoich wiadomości więcej wysiłku niż inni.
E-maile o charakterze sekstorsji to wiadomości, w których oszuści twierdzą, że nagrali cię za pomocą kamery internetowej podczas oglądania materiałów pornograficznych, a teraz żądają zapłaty. Zjawisko to istnieje od lat i nieustannie ewoluuje, przybierając coraz to nowe formy poprzez drobne zmiany w sformułowaniach i fałszywe szczegóły techniczne.
Nie zmieniła się jednak podstawowa prawda: nie ma żadnego złośliwego oprogramowania, żadnego nagrania ani żadnych wiarygodnych dowodów potwierdzających tę groźbę. Mimo że przez lata widziałem niezliczone wersje takich e-maili, do tej pory nie natknąłem się na ani jeden, który byłby poparty dowodami, o których istnieniu twierdził nadawca.
Poniżej przeanalizujemy tę wiadomość e-mail wiersz po wierszu, przerywając opowieść oszusta komentarzami wyjaśniającymi, skąd pochodzą te twierdzenia i dlaczego nie wytrzymują one krytycznej analizy.
„Cześć!
Z przykrością muszę przekazać Ci smutną wiadomość. Mniej więcej miesiąc lub dwa temu udało mi się uzyskać pełny dostęp do wszystkich Twoich urządzeń służących do przeglądania Internetu. Od tego czasu na bieżąco obserwuję Twoją aktywność w sieci.
Już sam początek nadaje ton całej wiadomości. SformułowanieTotal do wszystkich twoich urządzeń” od razu budzi podejrzenia, ponieważ jest to niezwykle mało prawdopodobne i nieprecyzyjne pod względem technicznym. Prawdziwi atakujący zazwyczaj podają bardziej konkretne informacje na temat tego, do czego uzyskali dostęp (które urządzenie, jaki system operacyjny, która aplikacja), podczas gdy oszuści celowo formułują swoje komunikaty w sposób ogólnikowy, aby każdy mógł pomyśleć, że dotyczy to właśnie jego.
“Go ahead and take a look at the sequence of events provided below for your reference: Initially I bought an exclusive access from hackers to a long list of email accounts (in today’s world, that is really a common thing, which can arranged via internet). Evidently, it wasn’t hard for me to proceed with logging in your email account (<REDACTED_EMAIL>). “
W tym przypadku oszust twierdzi, że nabył dostęp do „długiej listy kont e-mailowych”. Jest to wypaczona aluzja do prawdziwych pośredników zapewniających wstępny dostęp (IAB) oraz rynków danych uwierzytelniających, na których przestępcy handlują skradzionymi hasłami lub tokenami sesji. W tej wiadomości e-mail nie podano jednak żadnego hasła, czasu logowania ani adresu IP — jedynie adres e-mail, który oszust już znał. Nie ma więc żadnych faktycznych dowodów na przejęcie lub naruszenie bezpieczeństwa konta.
„W ciągu tego samego tygodnia przystąpiłem do zainstalowania wirusa typu trojan w systemach operacyjnych wszystkich urządzeń, których używasz do logowania się do poczty elektronicznej. Szczerze mówiąc, nie było to dla mnie żadnym wyzwaniem (skoro wcześniej byłeś na tyle uprzejmy, by kliknąć niektóre linki w wiadomościach z Twojej skrzynki odbiorczej). Tak, wśród nas są prawdziwi geniusze.”
Twierdzenie o „wirusie trojańskim” przypomina to, co obserwowaliśmy w innych kampaniach sekstorsji, w których wymienia się przypadkowe rodziny złośliwego oprogramowania lub luki w zabezpieczeniach, aby brzmieć wiarygodnie. Ponownie nie podano żadnej konkretnej nazwy złośliwego oprogramowania, ścieżki do pliku ani luki w zabezpieczeniach — jest to jedynie ogólnikowa historia mająca na celu przestraszenie każdego, kto kiedykolwiek kliknął w link.
„Dzięki temu trojanowi mam dostęp do wszystkich kontrolerów w urządzeniach (np. do Twojej kamery, klawiatury, mikrofonu i innych). W rezultacie bez trudu pobrałem wszystkie dane, w tym zdjęcia, historię przeglądania stron internetowych i inne rodzaje danych, na moje serwery. Ponadto mam dostęp do wszystkich kont w sieciach społecznościowych, z których regularnie korzystasz, w tym do poczty e-mail, historii czatów, komunikatorów, listy kontaktów itp. Mój unikalny wirus nieustannie aktualizuje swoje sygnatury (dzięki sterowaniu przez sterownik), dzięki czemu pozostaje niewykrywalny przez żadne programy antywirusowe.”
W tej sekcji autor stara się nadać tekstowi techniczny charakter, używając takich terminów jak „kontrolery”, „sterowniki” czy „aktualizacja sygnatur”. Jednak żadna z tych rzeczy nie odzwierciedla rzeczywistego sposobu działania produktów zabezpieczających ani złośliwego oprogramowania. Nowoczesne trojany i oprogramowanie szpiegujące mogą wprawdzie wykorzystywać sterowniki, mechanizmy utrwalania obecności w systemie czy szyfrowanie, ale twierdzenia typu„wszelkiego rodzaju programy antywirusowe”oraz „nieustanne aktualizowanie sygnatur” to czysty blef skierowany do czytelników nieposiadających wiedzy technicznej.
„Myślę więc, że już teraz rozumiesz, dlaczego do momentu napisania tego listu zawsze udawało mi się pozostać niezauważonym…“
To zdanie ma na celu wyjaśnienie poważnej niespójności. Jeśli napastnik rzeczywiście miał pełną kontrolę i monitorował ofiarę przez „miesiąc lub dwa”, to dlaczego jedynym dowodem jest e-mail bez żadnych logów, zrzutów ekranu ani próbki nagrania wideo? Jeśli ktoś naprawdę dysponuje kompromitującym materiałem, przedstawi przynajmniej jakiś dowód, ponieważ to właśnie zmusza ofiary do potraktowania sprawy poważnie.
„Podczas gromadzenia wszystkich materiałów związanych z tobą zauważyłem również, że jesteś zagorzałym zwolennikiem i stałym użytkownikiem stron internetowych zawierających nieprzyzwoite treści dla dorosłych. Okazuje się, że naprawdę uwielbiasz odwiedzać strony pornograficzne, a także oglądać ekscytujące filmy i doświadczać niezapomnianych przyjemności. Prawdę mówiąc, nie byłem w stanie oprzeć się pokusie, by nagrać pewne nieprzyzwoite sceny z tobą w roli głównej, a później stworzyłem kilka filmów ujawniających sceny twojej masturbacji i orgazmu.”
Oto klasyczny chwyt stosowany w szantażu seksualnym: „Nagrałem cię, kiedy oglądałeś porno”. Różne warianty tego sformułowania pojawiają się co najmniej od 2018 roku i często są powtarzane dosłownie w ogromnych kampaniach spamowych. Oszustwo to opiera się raczej na poczuciu wstydu i strachu niż na wiarygodności technicznej. Celem jest wywołanie u ofiar paniki, która skłoni je do zapłacenia.
„Jeśli do tej pory mi nie wierzysz, wystarczy mi jedno lub dwa kliknięcia myszką, żeby stworzyć wszystkie te filmy z udziałem wszystkich osób, które znasz – w tym twoich przyjaciół, współpracowników, krewnych i innych. Co więcej, mogę umieścić wszystkie te materiały wideo w sieci, żeby każdy mógł je obejrzeć”.
Po raz kolejny zwróć uwagę na brak dowodów. Nie ma ani podglądu obrazu, ani przykładowego filmu, ani wzmianki o konkretnym koncie w mediach społecznościowych — jest tylko groźba, że zostanie to wysłane do „wszystkich, których znasz”. Jest to celowo niejasne. Ta sama wiadomość musi sprawdzić się w przypadku milionów odbiorców o zupełnie różnych kręgach znajomych.
„Szczerze sądzę, że z pewnością nie chciałbyś, aby doszło do takich incydentów, biorąc pod uwagę lubieżne treści pokazywane w filmach, które często oglądasz (doskonale wiesz, o co mi chodzi) – spowoduje to dla ciebie ogromne kłopoty. Nadal istnieje rozwiązanie tej sprawy, a oto, co musisz zrobić: dokonaj przelewu w wysokości 1490 USD na moje konto (równowartość w bitcoinach, ustalona na podstawie kursu wymiany obowiązującego w dniu przelewu), a po otrzymaniu przelewu natychmiast i bezzwłocznie usunę wszystkie te lubieżne filmy. Potem możemy sprawić, że będzie wyglądało, jakby wcześniej nic się nie wydarzyło. Ponadto mogę potwierdzić, że całe oprogramowanie trojańskie zostanie wyłączone i usunięte ze wszystkich urządzeń, z których korzystasz. Nie masz się czym martwić, ponieważ zawsze dotrzymuję słowa.”
Cena i sposób płatności – nieco poniżej 1 500 dolarów, płatne w bitcoinach – są typowe dla tego rodzaju oszustw. Kryptowaluty cieszą się popularnością wśród oszustów, ponieważ płatności w nich dokonane trudno cofnąć, a środki można szybko przelać. Pomimo swojej reputacji bitcoin nie zapewnia anonimowości, a organy ścigania z powodzeniem zidentyfikowały wiele transakcji o charakterze przestępczym.
“That is indeed a beneficial bargain that comes with a relatively reduced price, taking into consideration that your profile and traffic were under close monitoring during a long time frame. If you are still unclear regarding how to buy and perform transactions with bitcoins – everything is available online. Below is my bitcoin wallet for your further reference: <REDACTED_ACCOUNT> All you have is 48 hours and the countdown begins once this email is opened (in other words 2 days).”
Krótkie terminy i sformułowania typu „odliczanie” to taktyki wywierania presji psychologicznej, a nie fakty techniczne. Oszuści chcą, żebyś wpadł w panikę, a nie zastanawiał się, bo spokojny czytelnik ma większe szanse na wykrycie luk w tej historii.
„Poniższa lista zawiera rzeczy, o których powinieneś pamiętać i których powinieneś unikać:
> Nie ma sensu próbować odpowiadać na mój e-mail (ponieważ ten adres e-mail i adres zwrotny zostały utworzone w Twojej skrzynce odbiorczej).
> Nie ma też sensu dzwonić na policję ani do żadnych innych służb bezpieczeństwa. Co więcej, nie waż się udostępniać tych informacji żadnemu ze swoich znajomych. Jeśli się o tym dowiem (biorąc pod uwagę moje umiejętności, będzie to naprawdę proste, ponieważ kontroluję wszystkie twoje systemy i nieustannie je monitoruję) – twoje nieprzyzwoite nagranie zostanie natychmiast upublicznione.
> Nie ma sensu mnie szukać – nic z tego nie wyjdzie. Transakcje kryptowalutowe są całkowicie anonimowe i niemożliwe do wyśledzenia.
> Nie ma sensu ponownie instalować systemu operacyjnego na urządzeniach ani próbować ich wyrzucić. To nie rozwiąże problemu, ponieważ wszystkie nagrania, w których występujesz jako główny bohater, zostały już przesłane na zdalne serwery.”
Ta część dotyczy przede wszystkim radzenia sobie z zastrzeżeniami. Oszust przewiduje typowe reakcje — rozmowę z kimś, wezwanie policji, ponowną instalację systemu — i próbuje je zniwelować. Szczególnie wymowne jest twierdzenie, że adres e-mail został „utworzony w Twojej skrzynce odbiorczej”. Jest to próba przedstawienia ogólnego adresu nadawcy jako dowodu włamania.
„Sprawy, które mogą Cię niepokoić:
> Ten przelew nie dotrze do mnie. Odetchnij, mogę to wszystko natychmiast sprawdzić, więc gdy tylko przelew zostanie zrealizowany, będę miał pewność, ponieważ nieustannie śledzę wszystkie Twoje działania (mój wirus trojański zdalnie kontroluje wszystkie procesy, podobnie jak TeamViewer)”.
Odwołanie się do TeamViewer, legalnego narzędzia do zdalnego dostępu, to kolejna taktyka, którą zaobserwowaliśmy w ostatnich wiadomościach e-mailowych związanych z sekstorcją. Pomaga to oszustowi powiązać swoją historię z czymś, o czym użytkownicy mogli słyszeć lub z czego korzystali w pracy. Nadal jednak nie ma żadnych dowodów na zdalny dostęp, a twierdzenie, że złośliwe oprogramowanie „kontroluje wszystkie procesy”, pomija sposób działania prawdziwych systemów operacyjnych i mechanizmów zabezpieczeń.
“> Że Twoje filmy zostaną rozpowszechnione, mimo że dokonałeś już przelewu na mój portfel. Zaufaj mi, nie ma dla mnie sensu dalej Ci przeszkadzać po pomyślnym zrealizowaniu przelewu. Co więcej, gdyby to kiedykolwiek wchodziło w zakres moich planów, zrealizowałbym to o wiele wcześniej! Zajmiemy się tą sprawą w jasny i przejrzysty sposób! Podsumowując, chciałbym zalecić jeszcze jedną rzecz… po tym wszystkim musisz zadbać o to, by już nigdy nie dać się wciągnąć w podobne nieprzyjemne sytuacje! Moja rada – regularnie zmieniaj wszystkie swoje hasła na nowe.”
Zakończenie wiadomości poradami dotyczącymi bezpieczeństwa to manipulacyjny zabieg. Przedstawiając pomocne wskazówki, oszust stara się sprawiać wrażenie wiarygodnego i godnego zaufania, a nie przestępcy. Nie zmienia to jednak faktu, że wiadomość e-mail nie zawiera żadnych dowodów potwierdzających prawdziwość żadnego z tych twierdzeń.
Jak reagować na e-maile zawierające groźby sekstorcji
Ten przykład jest wyjątkowo kiepsko napisany, ale wiele e-maili zawierających groźby związane z seks-szantażem jest znacznie bardziej dopracowanych i przekonujących. Niezależnie od tego, jak profesjonalnie wyglądają, należy je traktować w ten sam sposób: jako bezpodstawne groźby mające na celu zastraszenie ofiar i skłonienie ich do zapłaty.
- Przede wszystkim nigdy nie odpowiadaj na tego typu e-maile. Odpowiedź potwierdza, że ktoś aktywnie przegląda wiadomości wysyłane na ten adres, i może zachęcić do kolejnych prób oszustwa.
- Nie daj się zmusić do pochopnych działań ani decyzji. Oszuści liczą na to, że nie poświęcisz czasu na przemyślenie sprawy i w rezultacie popełnisz błędy. Jeśli nie masz pewności, poproś o radę.
- Załącznik nie stanowi dowodu. Większość wiadomości e-mailowych związanych z sekstorcją nie zawiera żadnych dowodów, a cyberprzestępcy często wykorzystują załączniki do rozprzestrzeniania złośliwego oprogramowania lub nadania swoim groźbom bardziej przekonującego charakteru.
- Jeśli wiadomość e-mail zawiera hasło, którego używałeś już wcześniej, natychmiast zmień je wszędzie tam, gdzie jest nadal używane. Następnie włącz uwierzytelnianie dwuskładnikowe wszędzie tam, gdzie to możliwe. Jeśli masz trudności z porządkowaniem haseł, rozważ skorzystanie zmenedżera haseł.
- Usuń wiadomość, zgłoś ją jako spam i nie przejmuj się tym.
Chociaż te e-maile z groźbą szantażu seksualnego są prawie zawsze blefem, to jeśli obawiasz się szpiegowania przez kamerę internetową, funkcjaMalwarebytes Monitoring może powiadomić Cię, gdy jakieś aplikacje będą próbowały uzyskać dostęp do Twojej kamery.
