Desde finais de 2018 tem sido detetada a circulação de novas campanhas de sextorsion através de e-mail em busca de novas vítimas Desde finais de novembro do ano passado, no Laboratório de Investigação da ESET recebemos uma quantidade importante de spam relacionado com golpes que circulavam no e-mail e que faziam parte de novas campanhas de extorsão.
Os últimos e-mails que recebemos mantinham alguns elementos que chamaram a nossa atenção, semelhantes aos que vimos na campanha identificada em setembro de 2018 em que a vítima recebia um e-mail que parecia ter sido enviado da sua própria conta. Nesta ocasião, o assunto da mensagem fazia referência a um suposto hackeo da conta do utilizador e aconselhava a mudar a password de forma imediata; enquanto que no corpo, o e-mail notificava que a conta estava comprometida graças à exploração de uma vulnerabilidade no router através de um malware.
Supostamente e mediante estas ações, o atacante conseguia obter informação privada da vítima, pelo que solicitava um pagamento para não tornar públicos os dados que poderiam “comprometer” a potencial vítima. Tal como se pode ver no exemplo seguinte de e-mail.
O facto do e-mail parecer ter sido enviado da própria conta do utilizador fazia crer que as declarações do atacante poderiam ser certas e que tinham tido acesso à informação.
Isto pode acontecer mediante técnicas de representação no protocolo de e-mail devido à ausência de mecanismos de autenticação e mediante a manipulação das opções de configuração neste tipo de serviços; o que possibilita o envio de mensagens apócrifas que à primeira vista pareciam vir de um endereço ou domínio legítimo, mas que na realidade não correspondem ao emissor.
Portanto, o facto do e-mail parecer ter sido enviado da própria conta não deveria ser um indício para fazer acreditar em tudo o que menciona a mensagem. Seguramente, o atacante enviou de forma massiva este tipo de e-mails à espera que um utilizador caia na armadilha e realize o pagamento.
Quanto pode gerar uma campanha deste estilo?
Tal como tem vindo a acontecer nos últimos meses, as campanhas de sextorsion continuam a aparecer e não deixa de chamar a atenção que sejam tão efetivas. No caso da campanha que detetamos em julho de 2018, a mesma foi alertada em vários países e permitiu que hackers por detrás da mesma arrecadassem cerca de meio milhão de dólares provenientes de vítimas de várias partes do mundo.
Estes dados são possíveis de obter através das direções das carteiras de Bitcoin que são dadas pelos criminosos dentro dos e-mails extorsivos que enviam.
Depois de acompanhar uma das campanhas maliciosas mais recentes e analisar uma única carteira de Bitcoin identificada nos e-mails que recebemos, podemos confirmar a sua eficácia.
Desde a deteção do e-mail, a administração da Bitcoin registou 36 movimentos ao longo de quase um mês de atividade relativamente constante, com um total recebido de 1.29 BTC (pouco mais de 4.300 dólares), como mostra o gráfico a seguir do total de transações realizadas por dia.
A coincidência entra a data de deteção da campanha fraudulenta e as operações realizadas na direção do Bitcoin sugere que os movimentos tenham sido resultado dos golpes conseguidos com sucesso. Outro dado interessante é que no dia com maior número de transações, a carteira recebeu mais de 1.400 dólares em apenas 24 horas.
Medidas de segurança contra campanhas enganosas
Novamente, trata-se de uma campanha de Engenharia Social através da qual tentam enganar utilizadores para que os mesmos realizem um pagamento por um ataque que nunca aconteceu para recuperar material que não existe e que muito menos se encontra na posse de hackers.
Do Laboratório de Investigação da ESET, recomendamos não responder a essas solicitações e eliminá-las. Os utilizadores também podem aplicar outras boas práticas no uso do correio eletrónico, como seja atualizar as suas passwords de forma regular, utilizar passwords diferentes para os distintos serviços na web e utilizar credenciais complexas e de longitude considerável; para além de soluções contra malware e spam. No caso de incluírem um ficheiro anexo, não abrir nem descarregar o mesmo, pois, recentemente, detetaram-se campanhas de sextorsion através de e-mail que para além da mensagem extorsiva incluía um anexo malicioso que infetava a vítima com ransomware.
Quanto aos serviços de e-mail dentro das organizações, é importante evitar as configurações por defeito; especialmente aquelas que permitem a retransmissão de e-mails (no caso de não afetar as operações), uma vez que são geralmente utilizados por spammers ou códigos maliciosos.
Também é recomendável implementar opções de dupla autenticação para os utilizadores, já que reduz a possibilidade de acessos não autorizados às contas dos utilizadores, assim como utilizar soluções anti-malware e anti-spam nos servidores de e-mail. Além do já referido, a consciencialização dos utilizadores também é necessária para evitar que caiam neste tipo de abusos que marcaram presença nos últimos meses.
