Neste momento, estamos a assistir a todo o tipo de e-mails de sextorsão. Este esquema é barato de executar, fácil de automatizar e, aparentemente, suficientemente lucrativo para que os cibercriminosos continuem a utilizá-lo. Alguns criminosos dedicam mais esforço às suas mensagens do que outros.
Os e-mails de sextorsão são mensagens em que os burlões alegam ter-te gravado através da tua webcam enquanto assistias a pornografia e agora exigem um pagamento. Já existem há anos e continuam a evoluir, com pequenas alterações na formulação e detalhes técnicos falsos.
O que não mudou foi a verdade fundamental: não há malware, nem gravações, nem provas credíveis por trás da ameaça. Apesar de ter visto inúmeras versões destes e-mails ao longo dos anos, ainda não encontrei nenhuma que fosse corroborada pelas provas que o remetente alegava ter.
A seguir, vamos analisar o e-mail linha a linha, interrompendo a história do burlão com comentários que explicam de onde vêm as alegações e por que razão não resistem a uma análise mais aprofundada.
«Olá!
Lamento informar-lhe uma notícia triste. Há cerca de um ou dois meses, consegui obter acesso total a todos os seus dispositivos utilizados para navegar na Internet. Desde então, comecei a monitorizar as suas atividades na Internet de forma contínua.”
A introdução define o tom.Total a todos os seus dispositivos» é um sinal de alerta imediato, porque é extremamente improvável e tecnicamente vago. Os verdadeiros atacantes tendem a ser mais específicos sobre o que acederam (que dispositivo, que sistema operativo, que aplicação), enquanto os burlões mantêm deliberadamente a mensagem vaga para que qualquer pessoa possa pensar que se aplica a si.
“Go ahead and take a look at the sequence of events provided below for your reference: Initially I bought an exclusive access from hackers to a long list of email accounts (in today’s world, that is really a common thing, which can arranged via internet). Evidently, it wasn’t hard for me to proceed with logging in your email account (<REDACTED_EMAIL>). “
Aqui, o burlão alega ter comprado acesso a uma «longa lista de contas de e-mail». Trata-se de uma referência distorcida aos verdadeiros corretores de acesso inicial (IABs) e aos mercados de credenciais, onde os criminosos comercializam palavras-passe ou tokens de sessão roubados. Neste e-mail, no entanto, não é fornecida nenhuma palavra-passe, hora de início de sessão ou endereço IP — apenas um endereço de e-mail que eles já conheciam. Portanto, não há provas concretas de apropriação ou comprometimento da conta.
«Na mesma semana, passei à instalação de um vírus trojan nos sistemas operativos de todos os dispositivos que utilizas para aceder ao e-mail. Para ser sincero, não foi de todo uma tarefa difícil para mim (uma vez que tiveste a gentileza de clicar em alguns dos links que recebeste na tua caixa de entrada). Pois é, há génios entre nós.»
A alegação relativa ao «vírus troiano» reflete o que já vimos noutras campanhas de sextorsão que mencionam aleatoriamente famílias de malware ou vulnerabilidades para parecerem credíveis. Mais uma vez, não é referido nenhum nome específico de malware, caminho de ficheiro ou vulnerabilidade — trata-se apenas de uma história genérica concebida para assustar qualquer pessoa que alguma vez tenha clicado num link.
«Graças a este trojan, consigo aceder a todo o conjunto de controladores dos dispositivos (por exemplo, a tua câmara de vídeo, o teclado, o microfone e outros). Como resultado, descarreguei sem qualquer dificuldade todos os dados, incluindo fotografias, histórico de navegação na Internet e outros tipos de dados, para os meus servidores. Além disso, tenho acesso a todas as contas nas redes sociais que utiliza regularmente, incluindo e-mails, histórico de conversas, aplicações de mensagens instantâneas, lista de contactos, etc. O meu vírus exclusivo atualiza incessantemente as suas assinaturas (graças ao controlo por parte de um controlador) e, por isso, permanece indetetável por qualquer tipo de antivírus.»
Esta secção tenta parecer técnica ao mencionar conceitos como «controladores», «drivers» e «atualização de assinaturas». No entanto, nada disto corresponde à forma como os produtos de segurança ou o malware funcionam na realidade. Os trojans e o spyware modernos podem utilizar drivers, mecanismos de persistência ou encriptação, mas afirmações como«qualquer tipo de antivírus»e «atualização incessante das suas assinaturas» são puro bluf, destinadas a leitores sem conhecimentos técnicos.
«Por isso, suponho que, a esta altura, já consigas perceber a razão pela qual sempre passei despercebido até esta mesma carta…»
Esta afirmação tenta justificar uma grande inconsistência. Se o atacante tivesse realmente controlo total e estivesse a vigiar a vítima há «um ou dois meses», por que razão a única prova é um e-mail sem registos, capturas de ecrã ou um vídeo de amostra? Se alguém tiver realmente material comprometedor, apresentará pelo menos alguma prova, porque é isso que obriga as vítimas a levarem o assunto a sério.
«Durante o processo de compilação de todos os materiais relacionados contigo, também reparei que és um grande fã e utilizador assíduo de sites que apresentam conteúdo adulto obsceno. Afinal, parece que adoras mesmo visitar sites pornográficos, bem como ver vídeos excitantes e desfrutar de prazeres inesquecíveis. Na verdade, não consegui resistir à tentação de gravar certas cenas obscenas a solo contigo no papel principal e, mais tarde, produzi alguns vídeos que expõem as tuas cenas de masturbação e ejaculação.»
Eis o clássico argumento de chantagem sexual: «Gravei-te enquanto vías pornografia.» Temos vindo a ver variações desta formulação, pelo menos desde 2018, frequentemente reutilizadas palavra por palavra em enormes campanhas de spam. O esquema baseia-se na vergonha e no medo, em vez de na credibilidade técnica. O objetivo é levar as vítimas a entrar em pânico para que paguem.
«Se até agora ainda não acreditas em mim, basta-me um ou dois cliques do rato para criar todos esses vídeos com todas as pessoas que conheces, incluindo os teus amigos, colegas, familiares e outros. Além disso, posso publicar todo esse conteúdo de vídeo online para que todos possam ver.»
Mais uma vez, repare na falta de provas. Não há nenhuma imagem de pré-visualização, nenhum vídeo de amostra, nenhuma menção a uma conta específica nas redes sociais — apenas uma ameaça de enviar a mensagem a «todos os que conheces». É deliberadamente vago. A mesma mensagem tem de funcionar para milhões de destinatários com círculos sociais completamente diferentes.
«Acredito sinceramente que não desejaria que tais incidentes ocorressem, tendo em conta o conteúdo lascivo demonstrado nos vídeos que costuma ver (sabe perfeitamente a que me refiro), o que lhe causaria uma enorme adversidade. Ainda há uma solução para este assunto, e eis o que precisa de fazer: efetue uma transferência de 1490 dólares americanos para a minha conta (o equivalente em bitcoins, calculado de acordo com a taxa de câmbio na data da transferência); assim, assim que receber a transferência, eliminarei imediatamente todos esses vídeos obscenos, sem demora. Depois disso, podemos fazer com que pareça que nada aconteceu anteriormente. Além disso, posso confirmar que todo o software trojan será desativado e apagado de todos os dispositivos que utiliza. Não tem nada com que se preocupar, porque cumpro sempre a minha palavra.»
O valor e o método de pagamento — pouco menos de 1 500 dólares, pagos em Bitcoin — são típicos deste tipo de burla. As criptomoedas são populares entre os burlões porque os pagamentos são difíceis de reverter e podem ser transferidos rapidamente. Apesar da sua reputação, o Bitcoin não é anónimo, e as autoridades policiais têm conseguido rastrear com sucesso muitas transações criminosas.
“That is indeed a beneficial bargain that comes with a relatively reduced price, taking into consideration that your profile and traffic were under close monitoring during a long time frame. If you are still unclear regarding how to buy and perform transactions with bitcoins – everything is available online. Below is my bitcoin wallet for your further reference: <REDACTED_ACCOUNT> All you have is 48 hours and the countdown begins once this email is opened (in other words 2 days).”
Os prazos curtos e a linguagem de contagem decrescente são táticas de pressão psicológica, não realidades técnicas. Os burlões querem que entres em pânico, não que penses, porque um leitor calmo tem mais probabilidades de detectar as falhas na história.
«A lista seguinte inclui coisas que deves ter em conta e evitar fazer:
> Não vale a pena tentares responder ao meu e-mail (uma vez que este e-mail e o endereço de remetente foram criados dentro da tua caixa de entrada).
> Também não vale a pena ligares para a polícia ou para qualquer outro tipo de serviços de segurança. Além disso, nem sequer te atrevas a partilhar esta informação com nenhum dos teus amigos. Se eu descobrir isso (tendo em conta as minhas competências, será muito simples, porque controlo todos os teus sistemas e os monitorizo continuamente) – o teu vídeo comprometedor será partilhado publicamente de imediato.
> Também não adianta procurares-me – não vai dar em nada. As transações com criptomoedas são completamente anónimas e impossíveis de rastrear.
> Não adianta reinstalar o sistema operativo nos dispositivos nem tentar deitá-los fora. Isso não resolverá o problema, uma vez que todos os vídeos em que apareces como protagonista já foram carregados em servidores remotos.”
Esta secção dedica-se essencialmente a lidar com objeções. O burlão antecipa reações comuns — falar com alguém, chamar a polícia, reinstalar o sistema — e tenta neutralizá-las. A alegação de que o endereço de e-mail foi «criado dentro da sua caixa de entrada» é particularmente reveladora. Trata-se de uma tentativa de fazer com que um endereço de remetente genérico pareça uma prova de que o sistema foi comprometido.
«Coisas que podem estar a preocupar-te:
> Essa transferência de fundos não me vai ser entregue. Respira fundo, posso verificar tudo imediatamente; assim, assim que a transferência estiver concluída, terei a certeza, uma vez que acompanho incessantemente todas as atividades que realizas (o meu vírus troiano controla todos os processos remotamente, tal como o TeamViewer).»
A referência ao TeamViewer, uma ferramenta legítima de acesso remoto, é outra tática que temos observado em e-mails recentes de sextorsão. Isso ajuda o burlão a fundamentar a sua história em algo de que os utilizadores possam ter ouvido falar ou que tenham utilizado no trabalho. No entanto, continua a não haver provas de acesso remoto, e a alegação de que o malware «controla todos os processos» ignora o funcionamento real dos sistemas operativos e dos controlos de segurança.
“> Que os teus vídeos serão divulgados, mesmo que já tenhas concluído a transferência de dinheiro para a minha carteira. Acredita em mim, não faz sentido para mim continuar a incomodar-te depois de a transferência ter sido bem-sucedida. Além disso, se isso alguma vez fizesse parte do meu plano, já o teria posto em prática muito antes! Vamos abordar e lidar com isto de forma clara! Para concluir, gostaria de recomendar mais uma coisa… depois disto, tem de se certificar de que não se envolve mais em situações desagradáveis semelhantes! A minha recomendação: certifique-se de que todas as suas palavras-passe são substituídas por novas regularmente.»
Terminar com conselhos de segurança é um toque manipulador. Ao oferecer recomendações úteis, o burlão tenta parecer credível e digno de confiança, em vez de criminoso. Isso não altera o facto de o e-mail não conter qualquer prova de que as alegações sejam verdadeiras.
Como reagir a e-mails de sextorsão
Este exemplo está escrito de forma invulgarmente má, mas muitos e-mails de sextorsão são muito mais bem elaborados e convincentes. Independentemente do aspeto profissional que possam ter, devem ser tratados da mesma forma: como ameaças infundadas destinadas a assustar as vítimas para que paguem.
- Em primeiro lugar, nunca responda a e-mails deste tipo. Responder confirma que alguém está efetivamente a ler as mensagens enviadas para esse endereço e pode incentivar novas tentativas de burla.
- Não te deixes levar pela pressa a agir ou a tomar decisões. Os burlões contam com o facto de que não vais dedicar tempo a refletir sobre o assunto e, consequentemente, acabarás por cometer erros. Pede conselho se não tiveres a certeza.
- Um anexo não constitui prova. A maioria dos e-mails de sextorsão não contém qualquer prova, e os cibercriminosos recorrem frequentemente a anexos para espalhar malware ou para tornar as suas ameaças mais convincentes.
- Se o e-mail incluir uma palavra-passe que já tenha utilizado anteriormente, altere-a imediatamente em todos os locais onde ainda esteja a ser utilizada. Em seguida, ative a autenticação de dois fatores sempre que possível. Se tiver dificuldade em organizar as suas palavras-passe, considere a utilização de umgestor de palavras-passe.
- Apaga a mensagem, denuncia-a como spam e segue em frente.
Embora estes e-mails de sextorsão sejam quase sempre blefes, se estiver preocupado com a espionagem através da webcam, Malwarebytes Monitoring pode alertá-lo quando houver aplicações que tentem aceder à sua câmara.
