Práticas que consistem em ameaçar a dignidade das pessoas, como um suposto comportamento sexual moralmente inaceitável, são golpes simples e com retorno financeiro considerável
A Tempest identificou a uma campanha de “sextortion” que já rendeu cerca de US$ 500 mil aos cibercriminosos.
Tentativas de extorsão por e-mail são bastante comuns e, dentre os golpes mais frequentes, e com grande destaque na imprensa, estão aqueles cujo objetivo consiste em ameaçar a dignidade da pessoa, expondo um suposto comportamento sexual moralmente inaceitável. Daí vem o nome da prática que ficou conhecida como “sextortion”.
Conceitualmente, o golpe é simples: ele se baseia em um e-mail dizendo que o computador ou a caixa de e-mail da vítima teria sido invadida e que ela precisa pagar uma quantia em Bitcoin, caso contrário, seus dados seriam vazados.
Até aqui, a abordagem é comum à maioria dos casos envolvendo extorsão, porém, estas campanhas utilizam algumas técnicas de engenharia social para dar maior credibilidade e para forçar a vítima a pagar a extorsão.
Em primeiro lugar, o atacante altera o cabeçalho da mensagem para que os campos “De” e “Para” sejam os mesmos, dando a impressão que o criminoso tem realmente acesso ao e-mail da vítima.
Além disso, algumas destas campanhas utilizam as senhas comprometidas em grandes vazamentos. Considerando que o hábito de reutilizar senhas em vários sites ainda seja uma prática recorrente — apesar dos alertas para que isso não seja praticado — o golpe se torna ainda mais convincente.
Em outra técnica de engenharia social o criminoso sugere que teria invadido o roteador da vítima e que teria obtido informações sobre sites adultos que a vítima acessou, além de realizar captura de telas e de fotos da vítima em momentos embaraçosos usando a webcam do computador.
O criminoso também afirma que inicialmente teria a intenção de bloquear o computador e exigir um resgate para desbloqueá-lo, mas que teria ficado “chocado” com o comportamento online da vítima, o que o levou a realizar a extorsão. Finalmente, e mais uma vez sem apresentar qualquer prova, afirma que coletou imagens dos sites visitados e capturado imagens da vítima no momento do acesso a esses sites.
A Tempest identificou, nos honeypots, diversos e-mails destas campanhas vindos de 157 IPs distintos (a maioria pertencentes a provedores de Internet ADSL), utilizando 30 endereços distintos de bitcoin que já teriam acumulado pouco mais de 129 unidades da criptomoeda (equivalente a pouco cerca de US$ 500 mil em cotação de 11 de março de 2019), um retorno financeiro considerável para uma campanha deste tipo, que não depende de uma infraestrutura complexa: apenas um servidor de e-mail e uma lista de e-mails e senhas.
Texto do e-mail enviado à vítima:
Entre as recomendações para as vítimas deste tipo de golpe destacamos que nunca paguem qualquer quantia solicitada, pois não existem garantias que as ameaças vão parar após o pagamento; e aos administradores de servidores de e-mail, recomendamos utilizar tecnologias como DKIM, DMARC e SPF para que este tipo de mensagem não chegue na caixa de entrada das vítimas.
“Acreditamos que a cibersegurança é um direito do mundo. E isso nos desafia.”
“Somos um “coletivo de protagonistas” atuando em uma realidade em que indivíduos e empresas são constantemente confrontados por desafios relacionados à segurança da informação.
Para responder a estes desafios, somos “disciplinados e instigados”. Encaramos problemas complexos com comprometimento, sem medo de chegar a soluções que ainda não foram pensadas.
Somos “simples na complexidade”, falamos a língua dos nossos clientes com a segurança de quem entende os desafios de seu negócio. Há 18 anos somos a Tempest. Somos mais de 250 tempesters atendendo uma vasta lista de clientes a partir de Recife, São Paulo e Londres, combinando conhecimento técnico a uma boa dosagem de inquietude que nos instiga a desenvolver soluções de cultura de segurança, operações e novos negócios.”
O que o vazamento do Marriott nos ensina sobre ataques persistentes. Por Carlos Cabral da Tempest
Tempest debate o uso responsável de dados e o impacto da Lei Geral de Proteção de Dados