Uma campanha criminosa propagada por email, através da qual os atacantes extorquiram dinheiro de utilizadores por alegarem a posse de vídeos das vítimas a assistir a conteúdos pornográficos, valeu perto de meio milhão de dólares.
A mecânica consistiu no envio pelos cibercriminosos de uma mensagem com a senha do utilizador no assunto, numa tentativa de provar que os atacantes tinham acesso aos seus dados pessoais e que a extorsão que detalhavam no corpo do email era real.
Assustados ao ver na caixa de entrada um email em inglês que alegava “Eu sei que sua palavra-passe é *****”, vários utilizadores que abriram a mensagem foram vítimas de uma tentativa de extorsão na qual os cibercriminosos informavam ter um vídeo das vítimas a assistir a pornografia e que o material, supostamente, foi obtido depois de um ataque por malware, o que permitiu assumir o controlo da webcam.
Na verdade, os atacantes não tinham qualquer vídeo. Tratou-se de uma campanha de Engenharia Social em que cibercriminosos usaram contas de email, palavras-passe e outros dados que foram obtidos como resultado de falhas de segurança sofridas por plataformas como LinkedIn, Adobe, Bitly e Tumblr. No entanto, vários dos utilizadores que receberam o email caíram na armadilha e acabaram por pagar em bitcoins aos cibercriminosos – apesar de várias das palavras-passe usadas pelos scammers serem antigas.
De acordo com um artigo publicado pela Motherboard (via WeLiveSecurity), investigadores descobriram que a campanha de “sextorsão” foi bastante lucrativa para aqueles que estavam por trás dela. Segundo o CEO da empresa de segurança Banbreach, Suman Kar, os atacantes conseguiram obter o equivalente a 500 mil dólares norte-americanos em bitcoins. Este número surgiu depois da análise de cerca de 770 carteiras usadas por cibercriminosos como parte da campanha.