Campanha de "sextorsão" vale quase meio milhão de dólares



A ESET, divulga o desfecho de uma campanha maliciosa de "sextorção", em que atacantes extorquiram a utilizadores bitcoins no valor de aproximadamente meio milhão de dólares norte-americanos.
A campanha criminosa, propagada por email, viu os atacantes alegarem a posse de vídeos das vítimas a assistir a conteúdos pornográficos.
A mecânica consistiu no envio pelos cibercriminosos de uma mensagem com a senha do utilizador no assunto, numa tentativa de provar que os atacantes tinham acesso aos seus dados pessoais e que a extorsão que detalhavam no corpo do email era real.

Assustados ao ver na caixa de entrada um email em inglês que alegava "Eu sei que sua palavra-passe é *****", vários utilizadores que abriram a mensagem foram vítimas de uma tentativa de extorsão na qual os cibercriminosos informavam ter um vídeo das vítimas a assistir a pornografia e que o material, supostamente, foi obtido depois de um ataque por malware, o que permitiu assumir o controlo da webcam.
Na verdade, os atacantes não tinham qualquer vídeo. Tratou-se de uma campanha de Engenharia Social em que cibercriminosos usaram contas de email, palavras-passe e outros dados que foram obtidos como resultado de falhas de segurança sofridas por plataformas como LinkedIn, Adobe, Bitly e Tumblr. No entanto, vários dos utilizadores que receberam o email caíram na armadilha e acabaram por pagar em bitcoins aos cibercriminosos – apesar de várias das palavras-passe usadas pelos scammers serem antigas.

De acordo com um artigo publicado pela Motherboard (via WeLiveSecurity), investigadores descobriram que a campanha de "sextorsão" foi bastante lucrativa. Segundo o CEO da empresa de segurança Banbreach, Suman Kar, os atacantes conseguiram obter o equivalente a 500 mil dólares norte-americanos em bitcoins. Este número surgiu depois da análise de cerca de 770 carteiras usadas por cibercriminosos como parte da campanha.
Caso receba uma mensagem deste género, a ESET recomenda que não responda e tenha consciência que se trata simplesmente de uma campanha fraudulenta. De resto, e como sempre, altere as suas palavras-passe com regularidade, utilize soluções de segurança de confiança, atualize o sistema operativo dos seus dispositivos e ative a autenticação por dois fatores. Ao pôr em prática estas sugestões, poderá tirar mais partido da tecnologia com segurança.
Para mais informações, consulte uma análise detalhada sobre a campanha no WeLiveSecurity.
Mais informações: http://www.eset.pt/

0 comentários: