“Znam Twoje hasło” – jak się bronić przed oszustami?

Od kilku miesięcy dostajemy od naszych klientów pełne obaw wiadomości. Otrzymują oni maile z pogróżkami i nakazujące zapłatę. Ponieważ jest to jedno z częstych zgłoszeń, które rozwiązujemy, postanowiliśmy napisać o tym szerzej i rzucić nieco światła na ten temat.

Kampania oszustów z wykorzystaniem tego ataku zaczęła się mniej więcej latem 2018 r. Wysłano wtedy przynajmniej kilkaset tysięcy maili, wywołujących w odbiorcach niepokój. Ponieważ mail zwykle nie zawiera żadnych załączników ani linków może nie zostać zablokowany przez filtry antywirusowe niektórych dostawców usług poczty internetowej, a jego treść może z powodzeniem wystraszyć niektórych użytkowników.

Prezentujemy Wam kilka przykładów wiadomości, które dostaliśmy od zaniepokojonych klientów – poniżej elementy, na które trzeba zwrócić uwagę i które mogą się powtarzać.

W tym przypadku oszust podał hasło ofiary w treści maila, by ją przestraszyć
Hasło było podane zarówno w treści, jak i temacie wiadomości, by ofiara jej nie zignorowała
Nazwa nadawcy zgadzała się z nazwą odbiorcy, ale widoczny adres e-mail ujawnił prawdziwy adres, z którego wysłano wiadomość
Mail szantażujący

Na co musisz zwrócić uwagę?

Nadawca wiadomości

W wielu mailach w polu odbiorcy pojawia się… nadawca. Oszuści preparują wiadomość tak, żeby wyglądała, jakby była wysłana z Twojej własnej skrzynki. Zaglądasz do swoich wysłanych odpowiedzi albo do kosza i nie widzisz żadnych wiadomości, więc jak to się stało? E-mail został poddany tzw. spoofingowi. W tym scenariuszu hakerzy, korzystając z dedykowanych narzędzi, podstawiają adres odbiorcy w polu nadawcy, tak, by wiadomość wyglądała, jakbyśmy wysłali ją do siebie sami, a zajmuje im to niespełna 2 minuty.

Jeśli przegapisz ten fakt na pierwszy rzut oka, możliwe, że oszust sam zwróci Ci na to uwagę w tekście, aby dodatkowo Cię przestraszyć. Nie wszystkie warianty tego ataku wykorzystują taki spoofing odbiorcy, wiele z nich wychodzi ze “zwykłych” adresów e-mail.

CyberTip

Rozwiń nadawcę wiadomości, a jeśli dalej masz wątpliwości sprawdź źródło wiadomości i tzw. nagłówki – tam dowiesz się, jaki jest prawdziwy adres nadawcy.

Hasło

Jeśli nie przestraszy Cię wiadomość, która wygląda, jakby była wysłana z Twojej osobistej skrzynki, na pewno skok ciśnienia może wywołać Twoje hasło, zapisane jawnie w tekście maila, szczególnie, jeśli ciągle go używasz.

Niektórzy klienci zgłaszają nam, że dostali takiego maila, ale nigdy nie używali podstawionego w nim hasła, co jest dobrą wiadomością. A co z tymi, których hasło się zgadza? Niestety, oznacza to, że Wasz adres e-mail i hasło uczestniczyły w jakimś wycieku. Możecie sprawdzić kiedy i na jakim portalu na tej stronie: haveibeenpwnd.com

Niestety, strona ma swoje ograniczenia, bo nie wszystkie wycieki mogą być notowane (za mała ilość poszkodowanych lub wyciek sprzed kilku dni), jednak mimo wszystko jest dobrym źródłem informacji.

CyberTip

Przede wszystkim zadbaj o zmianę hasła wszędzie tam, gdzie korzystałeś z tego wymienionego w mailu (jeśli potrzebujesz pomocy w tym temacie poczytaj ten artykuł). Przejrzyj, jakiego rodzaju dane, dokumenty, pliki trzymałeś na tym konkretnym portalu i czy znajdują się wśród nich wrażliwe dane. Zabezpiecz je.

Treść wiadomości

Na początku należy zwrócić uwagę na język i styl pisania – w jakim języku napisana jest wiadomość, w angielskim czy polskim? Czy pojawiają się w niej błędy, które wyglądają na niepoprawne tłumaczenie? To pierwsze oznaki masowości kampanii.

Następnie zwróć uwagę, czym grozi nadawca wiadomości i czy jego groźby mogą mieć pokrycie w rzeczywistości. Najczęściej oszuści grożą:

zaszyfrowaniem Twoich danych
ujawnieniem prywatnych plików

Zastanówmy się przez chwilę nad tymi dwoma wariantami. W przypadku zaszyfrowania danych dzieje się to zwykle od razu, kiedy tylko rozpakujesz i uruchomisz złośliwy załącznik. Dostajesz także wiadomość od cyberprzestępców jak możesz odzyskać dane, zwykle słono za to płacąc. Dlatego wariant ataku, w którym dostajesz ostrzeżenie, że dane już zostały pobrane, a za chwilę zaszyfruje je haker, chyba, że zdążysz zapłacić “okup” – raczej nie ma wielkiego sensu.

Co do drugiego wariantu: przestępcy najczęściej straszą uzyskaniem dostępu do prywatnych plików lub zainstalowaniem oprogramowania szpiegującego, które np. zbiera nagrania z kamerki czy ekranu oraz historię przeglądanych stron. Oszust grozi ujawnieniem kompromitujących informacji wszystkim kontaktom z Twoich prywatnych kont, do których zdołał już zdobyć dostęp, chyba, że zapłacisz za jego milczenie. Ten wariant jest nielogiczny z wielu różnych powodów:

jeśli kampania jest masowa, czy haker ma czas, aby przeglądać tysiące godzin nagrań, aby znaleźć kompromitujący Cię materiał?
kamerki internetowe dają sygnał, że rozpoczęły nagrywanie – czy kiedykolwiek udało Ci się to zauważyć?
jaką masz gwarancję, że jeśli nagrania istnieją oszust zniszczy je po wpłaceniu przez Ciebie pieniędzy?

Według raportu na temat tej kampanii atak wyszedł przynajmniej do 230 tysięcy adresów e-mail, co oznacza, że przejrzenie chociaż godziny nagrania z każdego adresu wymagałoby oglądania materiału wideo non-stop przez 26 lat przez jedną osobę.

Sami zastanówcie się, czy to się opłaca 😉

Kto jest celem?

Celem może być każdy, ale szczególnie narażone są osoby, których hasła uczestniczyły w wycieku. Pytaniem nie jest, czy nasze dane wyciekną, ale kiedy. Jeśli chcesz sprawdzić, czy Tobie już się to przydarzyło wejdź na stronę HaveIBeenPwnd – po wpisaniu swojego adresu dowiesz się, czy Twoje dane wyciekły, a jeśli tak to kiedy i jakie jest źródło. Baza jest ciągle aktualizowana, jednak zdarzają się tutaj opóźnienia. Możliwe, że nie będzie jeszcze zawierała ostatniej kolekcji 620 milionów danych indywidualnych użytkowników, która kilka dni temu została wystawiona na sprzedaż i zawiera dane logowania z kilkunastu różnych portali i aplikacji.

CyberTip

Jeśli chcesz mieć kontrolę nad ewentualnym wyciekiem danych pamiętaj, by zawsze używać unikalnych haseł do każdego konta (wtedy przestępcy nie mają dostępu do innych). Możesz także wykorzystać sprytną opcję stworzenia “dodatkowego” adresu e-mail, np. jeśli używasz Gmaila wystarczy, że do swojego oryginalnego adresu dodasz +fraza, a zostanie on uznany za nowy adres e-mail, jednak wiadomości ciągle będą przychodziły na Twoją główną skrzynkę (np. do rejestracji konta na Facebooku zamiast imie@gmail.com zapisz imie+facebook@gmail.com). Wtedy będziesz wiedział od razu skąd nastąpił wyciek.

Co zrobić, jeśli dostanę takiego maila?

Przede wszystkim: NIE PŁAĆ OKUPU.

Co dalej?

Sprawdź nagłówki maila i zobacz, skąd rzeczywiście przyszła wiadomość
Zmień hasło wszędzie tam, gdzie używałeś tego wymienionego w mailu
Sprawdź, jakie dane przechowywane były na kontach, na których doszło do wycieku – dane osobowe, dokumenty, co w nich było
Oznacz wiadomość jako SPAM
Jeśli chcesz się zabawić kosztem oszusta przekaż e-mail pod adres me@rescam.org – bot zajmie się rozmową z oszustem za Ciebie i będzie tracić jego czas!

Na koniec dodamy, że według publicznie dostępnych informacji na temat bilansu portfeli bitcoin, kampania przez blisko dwa miesiące zarobiła ponad 140 tys. dolarów (!). Nie dokładajcie się do tej sumy i przekażcie informację o oszustwie innym 🙂 Macie pytania? Piszcie w komentarzach lub na Facebooku!

Źródło