Schemat ataku zawsze jest podobny. Ofiara otrzymuje e-maila, którego nadawca twierdzi, że "podglądał" ją przez zainstalowaną w laptopie kamerkę i ma nagranie wideo, na którym ogląda ona treści pornograficzne. Grozi też, że ujawni te kompromitujące materiały rodzinie i znajomym. W zamian za swoje "milczenie" żąda określonej kwoty pieniędzy. Należy je przekazać w bitcoinach, aby transakcji nie dało się wyśledzić.
Oczywiście to zwykły blef, a oszuści nie posiadają kompromitujących materiałów. Jeśli jednak swoją groźbę skierują do odpowiednio dużej liczby osób i dodatkowo ją uwiarygodnią (np. poprzez umieszczenie w treści wiadomości hasła do poczty e-mail ofiary), to niemal zawsze uda im się złowić kogoś na swój przekręt.
"Sextortion", bo tak określa się ten rodzaj oszustwa, nie jest zjawiskiem nowym, ale w ostatnich miesiącach znów zbiera żniwo. Z danych firmy Area1 wynika, że tylko jedna z takich grup, która może być powiązana z z marokańską firmą marketingową, wyłudziła w ten sposób 949 tys. dolarów. Średnia kwota wpłacana przez osoby, które bały się ujawnienia kompromitujących filmów wideo, wyniosła prawie 600 dolarów.
Czytaj też: YouTube Music już w Polsce. Google rzuca wyzwanie Spotify
Polowanie na żołnierzy
Do "sextortion" przestępcy wykorzystują nie tylko pocztę e-mail, ale i media społecznościowe. W ubiegłym roku w USA głośnym echem odbił się skandal z udziałem członków amerykańskiej armii. Wielu żołnierzy otrzymywało na Facebooku prywatne wiadomości, których autorzy podszyli się pod młode i atrakcyjne kobiety. Oszuści zachęcali swoje ofiary do wysyłania im intymnych zdjęć.
W pewnym momencie następował zwrot akcji – inicjatywę przejmował rzekomy 'ojciec małoletniej dziewczynki', który groził ujawnieniem zażyłej znajomości zwierzchnikom oficera o ile nie zostanie zapłacony okup
- tłumaczy dr Michał Jarski, ekspert ds. cyberbezpieczeństwa.
W krótkim czasie przestępcy wyłudzili ponad pół miliona dolarów. Całej sprawie pikanterii dodaje fakt, że za tym dość wysublimowanym oszustwem stali osadzeni w więzieniu stanowym w Karolinie Południowej, którzy przeprowadzili całą akcję za pomocą przemyconych telefonów komórkowych.
"Sextortion" również Polsce
Fala "sextortion" przelała się również przez polski internet. W ubiegłym roku wiele osób otrzymało e-maile sugerujące, że ktoś zainstalował na ich sprzęcie oprogramowanie szpiegowskie i posiada kompromitujące ich nagrania. Miały to być m.in. nagrania pokazujące ofiarę w trakcie intymnych czynności.
- Wiarygodność tych wiadomości była podkreślana przez fakt, że wyglądały one jakby pochodziły z adresu email ofiary - podkreśla Michał Jarski. Nadawca sugerował w ten sposób, że przejął kontrolę nad komputerem, ale także nad kontem pocztowym. Oczywiście był to blef, który miał nakłonić ofiarę do wpłacenia 300 dolarów na przesłany adres portfela Bitcoin - dodaje ekspert.
Podobne próby wyłudzeń miały miejsce w Polsce już wcześniej, jednak wtedy przestępcy wysyłali e-maile w języku angielskim. Nowe oszustwo jest znacznie bardziej wysublimowane. Jego autorzy posługują się poprawną polszczyzną, a groźba ujawnienia kompromitujących materiałów brzmi dość wiarygodnie.
W jaki sposób oszustom udaje się podszywać pod adres e-mail ofiary? W internecie można znaleźć sporo serwisów, które umożliwiają wysłania "anonimowego" e-maila. Wygląda on tak, jakby został wysłany z naszego adresu. To nie oznacza jednak, że został z niego wysłany. Może to w łatwy sposób sprawdzić.
Wystarczy, że zajrzymy do sekcji "Wysłane" w naszej aplikacji e-mail. Jeśli nie znajdziemy tam wiadomości wysłanej przez oszusta, to oznacza, że niemal na pewno nie przejął on kontroli nad naszym komputerem.
Można także (to już wymaga trochę więcej wysiłku) obejrzeć nagłówki listu. Odnajdziemy tam całą historię przesyłki. Skąd została wysłana, przez jakie serwery przeszła i czy weryfikowano w jakiś sposób nadawcę"
- wyjaśnia Michał Jarski.
Skąd przestępcy mają nasze adresy e-mail i hasła?
Niestety w ostatnich latach doszło do wielu poważnych wycieków danych z dużych firm technologicznych, takich jak Yahoo czy Adobe, jak również z popularnych sklepów internetowych. W ręce przestępców trafiły więc bazy danych zawierające mnóstwo informacji - w tym miliony adresów e-mail oraz haseł.
Przestępcy korzystają z tego faktu nie tylko do włamywania na kolejne konta, ale także w masowych oszustwach. W treści listu umieszczają hasło odnalezione w bazach wycieków, co ma sugerować ofierze, że ktoś rzeczywiście dysponuje kluczami do jej komputera i wszystkich sekretów.
- tłumaczy Michał Jarski.
Jak sprawdzić czy padliśmy ofiarą wycieku?
Na stronie "have i been pwned?" znajdziemy bardzo przydatne, a przede wszystkim bezpieczne narzędzie, które pozwoli nam sprawdzić, czy należące do nas konta internetowe padły ofiarą, któregoś z dużych wycieków. Wystarczy wpisać swój adres e-mail w tę wyszukiwarkę.
Po wpisaniu mojego prywatnego adresu e-mail okazało się, że w ostatnich latach hakerzy mogli przejąć mój login i hasło do serwisów Dropbox, last.fm i Tumblr.
Jak ochronić się przed kradzieżą konta?
Zasada 1 – Silne hasło
To brzmi jak truizm. W podobny sposób rozpoczyna się zresztą 99 proc. poradników dotyczących bezpieczeństwa w sieci. Sęk w tym, że większość internautów wciąż kompletnie lekceważy tę zasadę. Z najnowszych danych firmy Splash Data wynika, że trzy najczęściej stosowane hasła w 2015 roku to: „123456”, „password” i „12345678”.
Silne hasło powinno składać się z kilkunastu znaków, a wśród nich małych i dużych liter, cyfr i znaków specjalnych. Warto pamiętać o zasadzie jedno konto = jedno hasło. Korzystanie z tego samego hasła do wszystkich usług, to prezent dla przestępców. To tak, jakbyśmy wręczyli im uniwersalny klucz do naszej sieciowej tożsamości.
Zasada 2 – Bezpieczne hasło
Dbaj o swoje hasło i nikomu go nie udostępniaj. Fatalnym pomysłem jest zapisywanie go w publicznie dostępnych miejscach, jak również w chmurze (Google, Docs, Evernote czy też Dropbox). Pod żadnym pozorem nie wysyłaj hasła e-mailem. W przypadku, gdy zapomniałeś hasła i korzystasz z funkcji jego przypomnienia, zapamiętaj nowe hasło, a następnie usuń otrzymaną wiadomość (również z kosza).
Pamiętaj o tym, aby dbać nie tylko o hasło, ale również adres e-mail. Staraj się go nie publikować na stronach internetowych i w serwisach społecznościowych. Uchroni cię to nie tylko przed kradzieżą danych logowania, ale i również przed zalewem spamu.
Zasada 3 – Zwracaj uwagę na HTTPS
Jeśli do swojego klienta poczty e-mail logujesz się z poziomu przeglądarki internetowej (tzw. Webmail), to upewnij się, że połączenie z serwerem jest szyfrowane. W przypadku takiego połączenia adres strony rozpoczyna się od „https”. Zwróć uwagę na symbol zielonej kłódki w lewym rogu paska adresu, kliknij w nią i zweryfikuj czy certyfikat jest aktualny i czy został wystawiony firmie, z której usługi korzystasz.
Jeśli korzystasz z Webmaila w miejscu publicznym, pamiętaj o wylogowaniu się po zakończeniu sesji. Pamiętaj również, że przeglądarki często oferują zapamiętanie nazwy i użytkownika i hasła logowania – pod żadnym pozorem się na to nie zgadzaj. Jeśli chcesz uniknąć kłopotów z tym związanych, najlepiej uruchom przeglądarkę w trybie prywatnym (Chrome – tryb Incognito; Firefox – tryb prywatny; IE – tryb InPrivate).
Zasada 4 – Aktywuj dwuetapową weryfikację konta
Taką usługę oferuję większość popularnych dostawców usług e-mail. Weryfikacja dwuetapowa stanowi dodatkową warstwę zabezpieczającą konto. Podczas logowania użytkownik musi wpisać nie tylko nazwę użytkownika i hasło, lecz także kod weryfikacyjny wysyłany SMS-em na numer telefonu podany przy rejestracji. W przypadku Gmaila można również skorzystać z aplikacji mobilnej Google Authenticator.
Zasada 5 – Uważaj na podejrzane e-maile
Ostrożność i zdrowy rozsądek to najlepsza broń w walce z potencjalnymi zagrożeniami w sieci. Zawsze, gdy otrzymasz na swoją skrzynkę podejrzanego e-maila, odpowiedz sobie na pięć prostych pytań:
Czy znasz nadawcę wiadomości?
Czy otrzymywałeś już inne wiadomości od tego nadawcy?
Czy spodziewałeś się otrzymać tę wiadomość?
Czy tytuł wiadomości i nazwa załącznika mają sens?
Czy wiadomość nie zawiera złośliwego oprogramowania?
Jeśli odpowiedź na któreś z powyższych pytań brzmi „NIE”, to nie otwieraj e-maila ani jego załączników i nie odpowiadaj nadawcy.
