Lad dig ikke narre af en Sextortions-fidus, der hævder, at dit redenkamera blev kapret

Vi ved alle om sikkerhedsmanglerne, der plager det stadigt stigende antal IoT-enheder, og du vil sandsynligvis ikke være for overrasket over at vide, at cyberkriminelle drager fordel af dette. Ikke på den måde, du måske forventer. Faktisk bliver IoT-udstyr hacket hver dag, men kriminelle har udviklet andre, billigere og klogere måder at udnytte sikkerhedshullerne i smarte gadgets. For nylig fortalte for eksempel e-mail-sikkerhedsfirma Mimecast, at skurke nu bruger IoTs manglende sikkerhed som et socialt ingeniørværktøj under en relativt stor sextortion- kampagne.

Ifølge Computer Weekly begyndte e-mails at flyve rundt i begyndelsen af januar, og i løbet af få dage opdagede Mimecast ikke mindre end 1.700 eksemplarer af svindelmeddelelserne, hvoraf de fleste var rettet mod amerikanske borgere. Det er ikke den største kampagne, verden nogensinde har set, men det potentielle offerantælling er heller ikke nøjagtigt ubetydeligt. Når du ser, hvordan angrebet udspiller sig, vil du bemærke, at skurkerne, der organiserede det, også tænkte på det.

Et usædvanligt indviklet angreb

Tidligere sextortions-svindel involverede en enkelt meddelelse sendt via e-mailen, som forsøgte at overbevise mål om, at deres computere var blevet hacket, og at extortionists havde pinlige optagelser af modtageren, der så voksne videoer. E-mailen siger, at hvis offeret ikke betaler sig, ville klippet blive frigivet for hele verden at se. I 2019 begyndte de kriminelle at bruge ofrenes adgangskoder (som de opnåede fra offentligt tilgængelige databaser) for at gøre scenariet "Jeg hacket din computer" så meget mere troværdigt.

Den nyere kampagne er lidt anderledes. Mens traditionelle sextortionsangreb afslører skurkenes krav med det samme, fortæller de aktuelle meddelelser faktisk ikke ofrene, at de er ved at blive afpresset. I stedet hævder meddelelsen blot, at cyberkriminelle har hacket modtagerens Google Nest-kamera og har fået nogle nøgne billeder af ejeren. Ofrene får loginoplysninger, som de skal bruge til at logge på en ProtonMail-e-mail-konto. I den finder de påstået bevis for hackinghændelsen.

Der er et link, der fører til en destinationsside og en video, der faktisk blev filmet med et Nest-kamera, men ikke et, der hører til offeret. Folk, der ikke bemærker, at de ser et tilfældigt klip, advares om, at hvis de ikke betaler et afpresningsgebyr, vil de kompromitterende fotos og videoer blive offentliggjort på et pornowebsted. Computer Weekly sagde, at efterspørgslen er € 500 eller $ 555 og kan betales i enten cryptocurrency eller gavekort.

Usædvanlige taktikker og trivielle motiver

Nogle af jer er måske en smule forvirrede over, hvad der ligner en unødvendigt kompleks opsætning. Du kan endda sige, at de bøjler, som brugere er tvunget til at gå igennem, kunne tip dem ud til den reelle karakter af den meddelelse, de læser. Der er dog grundige begrundelser bag de beslutninger, skurkerne har truffet.

Ved at involvere en anden e-mail-konto og en destinationsside gør skurkerne det sværere for e-mail-sikkerhedsfirmaer at spore kilden til angrebet, og endda regelmæssigt opdaterede spam-lister kan muligvis ikke stoppe nogle af svindelmeddelelserne. Selv om offerets engagement i hele operationen er større end normalt, håber skurkerne på, at folk med alle advarsler om den mindre end ideelle tilstand af IoT-sikkerhed ville være for panikfulde til at bemærke noget af fortællingen tegn på, at de bliver bundet.

Faktisk kan internetforbundne kameraer hackes, og de sårbarheder, der findes i nogle af dem, er intet mindre end skræmmende. Men hvor sandsynligt er du nøjagtigt et offer?

Hvis du tænker over det, vil et sådant angreb involvere en hacker, der pluk dit kamera blandt et hav af lignende enheder og hacking ind i det. Derefter bliver kriminelen nødt til at vente på, at du står foran dit kamera nøgen, og efter dette skulle de etablere afpresningen uden at blive fanget. Du er enig i, at en hel del komplekse opgaver skulle være afsluttet, og den potentielle udbetaling ville være mindre end $ 600. Pludselig begynder du at indse, at skurkenes påstande ikke rummer meget vand.

Som du kan se, kan det at gøre alt, hvad du ser i din indbakke med en passende mængde salt, gøre hele forskellen.