Μην εξαπατήσετε από μια σεξουαλική απάτη που ισχυρίζεται ότι η κάμερα σας Nest ήταν αεροπειρατεία

Όλοι γνωρίζουμε για τις αδυναμίες ασφαλείας που μαστίζουν τον συνεχώς αυξανόμενο αριθμό συσκευών IoT και πιθανότατα δεν θα εκπλαγείτε να μάθετε ότι οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται αυτό. Όχι με τον τρόπο που θα περίμενε κανείς. Πράγματι, το εργαλείο του IoT γίνεται καθημερινά, αλλά οι εγκληματίες έχουν αναπτύξει άλλους, φθηνότερους και πιο έξυπνους τρόπους εκμετάλλευσης των τρυπών ασφαλείας των έξυπνων συσκευών. Πρόσφατα, για παράδειγμα, η εταιρεία ηλεκτρονικής ασφάλειας Mimecast μας είπε ότι οι απατεώνες χρησιμοποιούν τώρα την έλλειψη ασφάλειας του IoT ως εργαλείο κοινωνικής μηχανικής κατά τη διάρκεια μιας σχετικά μεγάλης εκστρατείας sextortion.

Σύμφωνα με την Computer Weekly, τα μηνύματα ηλεκτρονικού ταχυδρομείου άρχισαν να πετούν γύρω στις αρχές Ιανουαρίου και, σε λίγες μέρες, ο Mimecast ανίχνευσε όχι λιγότερα από 1.700 αντίγραφα των μηνυμάτων απάτης, τα περισσότερα από τα οποία απευθύνονταν σε Αμερικανούς πολίτες. Δεν είναι η μεγαλύτερη εκστρατεία που έχει δει ποτέ ο κόσμος, αλλά ο πιθανός αριθμός των θυμάτων δεν είναι ακριβώς ασήμαντος. Όταν βλέπετε πώς εκτυλίσσεται η επίθεση, θα παρατηρήσετε ότι οι απατεώνες που το διοργάνωσαν έκαναν κάποια σκέψη σε αυτό.

Μια ασυνήθιστα περίπλοκη επίθεση

Προηγούμενες απάτες στο sextortion αφορούσαν ένα μόνο μήνυμα που στάλθηκε μέσω του μηνύματος ηλεκτρονικού ταχυδρομείου, το οποίο προσπάθησε να πείσει τους στόχους ότι οι υπολογιστές τους είχαν χάσει και ότι οι εκβιαστές είχαν ενοχλητικά βίντεο από τον παραλήπτη που παρακολουθούσε βίντεο ενηλίκων. Το μήνυμα ηλεκτρονικού ταχυδρομείου θα έλεγε ότι εάν το θύμα δεν πληρώσει, το κλιπ θα απελευθερωθεί για να δει ολόκληρος ο κόσμος. Το 2019, οι εγκληματίες άρχισαν να χρησιμοποιούν τους κωδικούς πρόσβασης των θυμάτων (που έλαβαν από διαθέσιμες στο κοινό διαφυλισμένες βάσεις δεδομένων) για να κάνουν το σενάριο "I hacked your computer" πολύ πιο πιστευτό.

Η πιο πρόσφατη καμπάνια είναι λίγο διαφορετική. Ενώ οι παραδοσιακές επιθέσεις σεξουαλικής κακοποίησης αποκαλύπτουν αμέσως τις απαιτήσεις των απατεώνων, τα τρέχοντα μηνύματα δεν λένε πραγματικά στα θύματα ότι πρόκειται να εκβιαστούν. Αντίθετα, το μήνυμα απλώς ισχυρίζεται ότι οι εγκληματίες του κυβερνοχώρου έχουν παραβιάσει την κάμερα Google Nest του παραλήπτη και έχουν αποκτήσει κάποιες γυμνές φωτογραφίες του ιδιοκτήτη. Τα θύματα λαμβάνουν τα διαπιστευτήρια σύνδεσης, τα οποία πρέπει να χρησιμοποιήσουν για να συνδεθούν σε λογαριασμό ηλεκτρονικού ταχυδρομείου ProtonMail. Σε αυτό, βρίσκουν υποτιθέμενη απόδειξη του περιστατικού hacking.

Υπάρχει ένας σύνδεσμος που οδηγεί σε μια σελίδα προορισμού και ένα βίντεο που γυρίστηκε πράγματι με μια κάμερα Nest, αλλά όχι μια που ανήκει στο θύμα. Οι άνθρωποι που παραλείπουν να παρατηρήσουν ότι παρακολουθούν ένα τυχαίο κλιπ προειδοποιούν ότι αν δεν καταβάλλουν τέλη εκβιασμού, οι συμβιβαστικές φωτογραφίες και τα βίντεο θα δημοσιευθούν σε έναν ιστότοπο πορνό. Computer Weekly δήλωσε ότι η ζήτηση είναι € 500 ή $ 555 και μπορεί να πληρωθεί είτε σε κρυπτογράφηση είτε σε κάρτες δώρων.

Ασυνήθιστες τακτικές και ασήμαντα κίνητρα

Κάποιοι από εσάς μπορεί να είναι λίγο μπερδεμένοι από αυτό που μοιάζει με μια άσκοπα πολύπλοκη ρύθμιση. Ίσως μάλιστα να πείτε ότι οι χρήστες των στεφάνων που αναγκάζονται να περάσουν θα μπορούσαν να τους ανατρέψουν στην πραγματική φύση του μηνύματος που διαβάζουν. Υπάρχει σοβαρός λόγος πίσω από τις αποφάσεις που έχουν πάρει οι απατεώνες.

Με τη συμμετοχή ενός άλλου λογαριασμού ηλεκτρονικού ταχυδρομείου και μιας σελίδας προορισμού, οι απατεώνες καθιστούν πιο δύσκολο για τις εταιρείες ασφαλείας ηλεκτρονικού ταχυδρομείου να ανιχνεύσουν την πηγή της επίθεσης και ακόμη και οι τακτικά ενημερωμένες λίστες ανεπιθύμητων μηνυμάτων ίσως αποτύχουν να σταματήσουν μερικά από τα μηνύματα απάτης. Ταυτόχρονα, παρόλο που η συμμετοχή του θύματος σε ολόκληρη τη λειτουργία είναι μεγαλύτερη από το συνηθισμένο, οι απατεώνες ελπίζουν ότι με όλες τις προειδοποιήσεις σχετικά με την λιγότερο καλή κατάσταση της ασφάλειας του IoT, οι άνθρωποι θα ήταν πολύ πανικοβλημένοι για να παρατηρήσουν κάποια από τα ενδεικτικά σηματοδοτεί ότι είναι καταδικασμένοι.

Πράγματι, οι κάμερες συνδεδεμένες στο διαδίκτυο μπορούν να χτυπηθούν και οι ευπάθειες που εντοπίστηκαν σε μερικές από αυτές δεν είναι τίποτα λιγότερο από τρομακτικό. Αλλά πόσο πιθανό είναι να είσαι θύμα;

Εάν το σκεφτείτε, μια τέτοια επίθεση θα συνεπαγόταν έναν χάκερ που θα πάρει τη φωτογραφική μηχανή σας μέσα από μια θάλασσα παρόμοιων συσκευών και θα πειραματιστεί σε αυτό. Στη συνέχεια, ο εγκληματίας θα πρέπει να περιμένει να στέκεστε μπροστά από την κάμερά σας γυμνό, και μετά θα χρειαστεί να καθιερώσει τη λειτουργία εκβιασμού χωρίς να πιαστεί. Πρέπει να συμφωνήσετε ότι θα πρέπει να ολοκληρωθούν αρκετά σύνθετα καθήκοντα και η πιθανή πληρωμή θα είναι μικρότερη από $ 600. Ξαφνικά, αρχίζετε να συνειδητοποιείτε ότι οι ισχυρισμοί των απατεώνων δεν έχουν πολύ νερό.

Όπως βλέπετε, η λήψη όλων όσων βλέπετε στα εισερχόμενά σας με μια κατάλληλη ποσότητα αλατιού θα μπορούσε να κάνει όλη τη διαφορά.