Ikke bli lurt av en Sextortion-svindel som hevder at nestekameraet ditt ble kapret

Vi vet alle om sikkerhetsmanglene som plager det stadig økende antall IoT-enheter, og du vil sannsynligvis ikke bli for overrasket over å vite at nettkriminelle utnytter dette. Ikke på den måten du kanskje forventer. Faktisk blir IoT-utstyr hacket hver dag, men kriminelle har utviklet andre, billigere og smartere måter å utnytte sikkerhetshullene til smarte dingser på. Nylig for eksempel fortalte e-postsikkerhetsselskapet Mimecast at skurker nå bruker IoTs mangel på sikkerhet som et sosialt teknisk verktøy under en relativt stor sextortion- kampanje.

I følge Computer Weekly begynte e-postene å fly rundt i begynnelsen av januar, og i løpet av bare dager oppdaget Mimecast ikke mindre enn 1 700 eksemplarer av svindelmeldingene, de fleste var rettet mot amerikanske borgere. Det er ikke den største kampanjen verden noensinne har sett, men det potensielle offerantallet er heller ikke akkurat ubetydelig. Når du ser hvordan angrepet utspiller seg, vil du merke at skurkene som organiserte det, også tenkte på det.

Et uvanlig viklet angrep

Tidligere sextortionssvindel involverte en enkelt melding sendt via e-posten, som prøvde å overbevise mål om at datamaskinene deres hadde blitt hacket, og at utpresserne hadde pinlige opptak av mottakeren som så på videoer fra voksne. E-posten vil si at hvis offeret ikke betaler seg, ville klippet bli utgitt for at hele verden kan se. I 2019 begynte de kriminelle å bruke ofrenes passord (som de skaffet fra offentlig tilgjengelige lekkede databaser) for å gjøre scenarioet "Jeg hacket datamaskinen din" så mye mer troverdig.

Den nyere kampanjen er litt annerledes. Mens tradisjonelle sextortionsangrep avslører skurkenes krav med en gang, forteller ikke de nåværende meldingene faktisk ofrene at de er i ferd med å bli utpresset. I stedet hevder meldingen ganske enkelt at nettkriminelle har hacket mottakerens Google Nest-kamera og har fått noen nakenbilder av eieren. Ofrene får innloggingsinformasjon, som de må bruke for å logge inn på en ProtonMail e-postkonto. I den finner de påståtte bevis for hackinghendelsen.

Det er en lenke som fører til en destinasjonsside og en video som faktisk ble filmet med et Nest-kamera, men ikke en som tilhører offeret. Folk som ikke klarer å merke at de ser på et tilfeldig klipp, blir advart om at hvis de ikke betaler en utpressingsavgift, vil de kompromitterende bildene og videoene bli publisert på et pornoside. Computer Weekly sa at etterspørselen er € 500 eller $ 555 og kan betales i enten cryptocurrency eller gavekort.

Uvanlige taktikker og trivielle motiver

Noen av dere kan være litt forvirrede over det som ser ut som et unødvendig komplekst oppsett. Du kan til og med si at bøylene brukerne blir tvunget til å gå gjennom, kan tipse dem til den virkelige arten av meldingen de leser. Det er imidlertid forsvarlig begrunnelse bak beslutningene skurkene har tatt.

Ved å involvere en annen e-postkonto og en destinasjonsside, gjør kjeltringene det vanskeligere for e-postsikkerhetsselskaper å spore kilden til angrepet, og til og med regelmessig oppdaterte spam-lister kan ikke unnlate å stoppe noen av svindelmeldingene. På samme tid, selv om offerets engasjement i hele operasjonen er større enn vanlig, håper kjeltringene at med alle advarsler om den mindre enn ideelle tilstanden til IoT-sikkerhet, ville folk bli for panikkt til å legge merke til noe av historien tegn på at de blir koblet.

Internett-tilkoblede kameraer kan faktisk bli hacket, og sårbarhetene som finnes i noen av dem, er intet mindre enn skremmende. Men hvor sannsynlig er du nøyaktig et offer?

Hvis du tenker på det, vil et slikt angrep innebære at en hacker plukker kameraet ditt blant et hav av lignende enheter og hacker seg inn i det. Deretter måtte den kriminelle vente på deg til å stå foran kameraet ditt nakent, og etter det måtte de etablere utpressingsoperasjonen uten å bli fanget. Du må være enig i at ganske mange komplekse oppgaver må fullføres, og den potensielle utbetalingen vil være mindre enn $ 600. Plutselig begynner du å innse at skurkenes påstander ikke virkelig holder mye vann.

Som du kan se, kan du ta alt du ser i innboksen med en passende mengde salt, utgjøre hele forskjellen.