Ashley Madison Data Overtrædelse Udvidering Scam Målret mod hundreder af ofre

Forskellige dataovertrædelser har forskellige konsekvenser. Hvis et internet-diskussionsforum for eksempel er hacket, er skaden normalt begrænset til brugernavne, e-mail-adresser og i nogle tilfælde adgangskoder. Hvis et e-handelswebsted eller en betalingstjenesteudbyder kompromitteres, kan tingene blive lidt grimme, fordi de gemmer betalingsoplysninger. Som ganske få mennesker kan vidne, kan et vellykket angreb på websteder som Ashley Madison være endnu mere skadeligt.

Ashley Madison er en online datingtjeneste for mennesker, der vil have en affære, og som du sikkert ved, blev den hacket i 2015. Tæt på 10 GB følsomme data blev lækket, og virkningerne på Ashley Madisons brugere var dybe. Omdømme og familier blev sat i alvorlig fare, og for nogle førte muligheden for offentlig skammelse og forlegenhed til selvmord.

Mange kom dog ubeskadiget ud og gik videre med deres liv. De håbede sandsynligvis, at det hele nu ligger bag dem, men de fandt for nylig et parti spam-beskeder i deres indbakker, hvilket beviste, at dette ikke er tilfældet.

Fem år senere prøver cyberkriminelle stadig at udnytte Ashley Madison-hacket

I sidste uge rapporterede forskere fra Vade Secure om en ny spam-kampagne, der var rettet mod ofre for Ashley Madison-dataovertrædelsen. Det er langt fra den sædvanlige affære. I modsætning til run-of-the-mill spray-og-bede-kampagner, der rammer tusinder eller endda millioner af mennesker, denne gang er angrebet personaliseret for hvert enkelt mål og kan være ekstremt ødelæggende.

Spammerne anbragte offerets Ashley Madison-brugernavn i emnet på e-mailen for at tiltrække deres opmærksomhed. Meddelelsens krop begynder med det samme brugernavn og ordene "Jeg ved alt om dig." Længere nede prøver spammere at bevise, at denne erklæring er sand.

De tilføjer detaljer stjålet fra Ashley Madison, der inkluderer offerets telefonnummer, påstået fødselsdato, fysisk adresse, oprettelse af konto og IP, hvorfra kontoen blev oprettet.

Da Ashley Madison blev hacket, omfattede de lækkede data blandt andet transaktionsoplysninger og bankkontonumre, og sikker nok, e-mails indeholder også oplysninger om online køb, som offeret sandsynligvis foretrækker at holde privat. Det er imidlertid svært at sige, om dette særlige stykke information kommer fra Ashley Madison. For alt hvad vi ved, er det faktisk ikke engang virkelig. Vade sendte et skærmbillede, hvor spammerne viser, at de har detaljer om en online-ordre for "mandlige hjælpeprodukter" fra slutningen af 2018 - mere end tre år efter Ashley Madison-bruddet. Resten af informationen i e-mailen er imidlertid tilsyneladende fuldstændig legitim, og du vil sandsynligvis ikke være for overrasket over at finde ud af, at hackerne truer med at vise det for offerets venner og familie.

Nogle kryptomønter kan naturligvis stoppe dette. For at sikre, at beskeden kommer forbi moderne spamfiltre, valgte svindlerne ikke at medtage nogen betalingskrav i e-mails krop. I stedet vedhæfter de en adgangskodebeskyttet PDF-fil, der indeholder alle instruktionerne, inklusive en QR-kode for ekstra bekvemmelighed. Dette er en ny teknik. Forskerne bemærkede dog, at det er effektivt, hvilket betyder, at vi sandsynligvis også vil se det i fremtiden.

En sextortions-fidus med et twist

Den aktuelle kampagne minder om en bestemt type sextortions-svindel, der blev ekstremt populær blandt cyberkriminelle i sommeren 2018. Derefter forsøgte spammerne at afprese ofre ved at true dem med at lække pinlige optagelser, der var blevet optegnet gennem offerets angiveligt hacket webkamera. Få mennesker ville falde for disse påstande, hvilket er grunden til, at spammere også inkluderede et af brugerens adgangskoder i e-mails. De fik adgangskoder fra online databaser, der var lækket under ikke-relaterede dataovertrædelser, og for det meste var legitimationsoplysningerne gamle og var ikke længere gyldige. Ikke desto mindre troede svindlerne, at de ville narre ofrene til at tro, at deres bærbare computere virkelig var blevet hacket og dermed fortsatte med betalingen.

Grundlæggende er princippet det samme her. Hackerne hævder, at de er ved at lække nogle skadelige oplysninger om deres ofre, og kun en løsepenge kan forhindre, at dette sker. Forskellen er dog, at videoerne fra den gamle sextortions-svindel ikke er reelle, mens de lækkede Ashley Madison-detaljer er.