Nie daj się zwieść oszustwom z powodu przekleństw, twierdząc, że Twoja kamera gniazda została porwana

Wszyscy wiemy o niedociągnięciach bezpieczeństwa, które nękają coraz większą liczbę urządzeń IoT, i prawdopodobnie nie będziesz zaskoczony, gdy dowiesz się, że cyberprzestępcy z tego korzystają. Jednak nie tak, jak można się spodziewać. Rzeczywiście sprzęt IoT jest hakowany każdego dnia, ale przestępcy opracowali inne, tańsze i sprytniejsze sposoby wykorzystania luk w zabezpieczeniach inteligentnych gadżetów. Niedawno na przykład firma zajmująca się bezpieczeństwem poczty e-mail Mimecast powiedziała nam, że oszuści używają obecnie braku bezpieczeństwa IoT jako narzędzia inżynierii społecznej podczas stosunkowo dużej kampanii sekstorcji.

Według Computer Weekly wiadomości e-mail zaczęły latać na początku stycznia, aw ciągu zaledwie kilku dni Mimecast wykrył nie mniej niż 1700 kopii wiadomości o oszustwie, z których większość była skierowana do obywateli USA. To nie jest największa kampania, jaką kiedykolwiek widział świat, ale potencjalna liczba ofiar również nie jest nieznaczna. Kiedy zobaczysz, jak rozwija się atak, zauważysz, że oszuści, którzy go zorganizowali, również się nad tym zastanowili.

Niezwykle zawiły atak

Poprzednie oszustwa związane z seksualizacją obejmowały pojedynczą wiadomość wysłaną za pośrednictwem wiadomości e-mail, która próbowała przekonać cele, że ich komputery zostały zhakowane, a szantażyści mieli zawstydzające zdjęcia odbiorców oglądających filmy dla dorosłych. Wiadomość e-mail mówi, że jeśli ofiara nie zapłaci, klip zostanie udostępniony całemu światu. W 2019 r. Przestępcy zaczęli używać haseł ofiar (uzyskanych z publicznie dostępnych wyciekających baz danych), aby scenariusz „Włamałem się do twojego komputera” stał się bardziej wiarygodny.

Nowsza kampania jest nieco inna. Podczas gdy tradycyjne ataki seksualne od razu ujawniają żądania oszustów, obecne wiadomości tak naprawdę nie mówią ofiarom, że mają być szantażowane. Zamiast tego wiadomość po prostu twierdzi, że cyberprzestępcy zhakowali aparat Google Nest odbiorcy i uzyskali nagie zdjęcia właściciela. Ofiary otrzymują dane logowania, których muszą użyć do zalogowania się na konto e-mail ProtonMail. Znajdują w nim rzekomy dowód incydentu włamania.

Istnieje link, który prowadzi do strony docelowej i filmu, który rzeczywiście został nakręcony kamerą Nest, ale nie należy do ofiary. Ludzie, którzy nie zauważą, że oglądają losowy klip, są ostrzegani, że jeśli nie zapłacą opłaty za wymuszenie, kompromitujące zdjęcia i filmy zostaną opublikowane na stronie internetowej z pornografią. Computer Weekly powiedział, że popyt wynosi 500 € lub 555 $ i można go zapłacić za pomocą kryptowaluty lub kart podarunkowych.

Niezwykła taktyka i trywialne motywy

Niektórzy z was mogą być nieco zakłopotani tym, co wygląda na niepotrzebnie złożoną konfigurację. Można nawet powiedzieć, że felgi, do których użytkownicy są zmuszeni przejść, mogą podpowiedzieć im o prawdziwej naturze czytanej wiadomości. Jednak decyzje podejmowane przez oszustów są uzasadnione.

Angażując inne konto e-mail i stronę docelową, oszuści utrudniają firmom zajmującym się bezpieczeństwem poczty e-mail śledzenie źródła ataku, a nawet regularnie aktualizowane listy spamu mogą nie zatrzymać niektórych wiadomości oszustw. Jednocześnie, chociaż zaangażowanie ofiary w całą operację jest większe niż zwykle, oszuści mają nadzieję, że przy wszystkich ostrzeżeniach dotyczących niezbyt idealnego stanu bezpieczeństwa IoT ludzie byliby zbyt spanikowani, aby zauważyć część z nich znaki, że są oszukani.

Rzeczywiście, kamery internetowe mogą zostać zhakowane, a luki w niektórych z nich są przerażające. Ale na ile dokładnie jesteś ofiarą?

Jeśli się nad tym zastanowić, taki atak wymagałby od hakera wybrania aparatu spośród morza podobnych urządzeń i włamania się do niego. Następnie przestępca musiałby poczekać, aż staniesz nago przed kamerą, a następnie będzie musiał rozpocząć operację szantażu bez przyłapania. Musisz zgodzić się, że trzeba będzie wykonać kilka skomplikowanych zadań, a potencjalna wypłata wyniesie mniej niż 600 USD. Nagle zaczynasz zdawać sobie sprawę, że roszczenia oszustów tak naprawdę nie utrzymują dużej ilości wody.

Jak widać, zabranie wszystkiego, co widzisz w skrzynce odbiorczej z odpowiednią ilością soli, może mieć znaczenie.