Анализ угроз

Требуют выкуп, угрожая выложить видео. Правда ли это? И что делать?

Marek Beňo, 5 марта 2021 г. 15:12:46 CET
Marek Beňo, 5 марта 2021 г. 15:12:46 CET

Сексуальное вымогательство в онлайн-сообщениях может иметь серьезные последствия и офлайн. Узнайте о примерах таких писем и правильной реакции на них.

Сексуальное вымогательство (sextortion) — вид мошенничества основанный на эксплуатации чьей-либо половой жизни. Он основан на опасении людей, что их самые интимные моменты окажутся достоянием публики. Обычно такие угрозы приходят по электронной почте.

Злоумышленники массово рассылают электронные письма, в которых угрожают публикацией якобы имеющихся у них интимных видеозаписей жертв, если не получат выкуп.

Это очень опасный вид мошенничества, который может иметь серьезные последствия, в том числе для ментального здоровья жертв. 

Сексуальное вымогательство по электронной почте уже доводило до трагедий и приводило к самоубийствам. В качестве примеров можно назвать случаи пяти разных мужчин в Великобритании и одного в США. И это лишь некоторые из подобных историй.

Какими бы серьезными и пугающими ни были угрозы в подобных письмах, мы призываем пользователей сохранять спокойствие и игнорировать их, ведь это всего лишь подлая уловка мошенников, которые хотят добраться до ваших денег.

В январе 2021 Avast заблокировал более 500 000 случаев sextortion-атак, из них 6 785 случаев — в России.  На изображении ниже показана распространенность атак, связанных с сексуальным вымогательством, по всему миру.

02_2021_world-map-vector_GettyImages-1209385928_red-edit.3B

Что такое сексуальное вымогательство?

Сексуальное вымогательство начинается с электронного письма. Такие письма обманывают жертву, заставляя поверить, что злоумышленник записал изображение с ее экрана или сделал видеозапись с помощью камеры, и теперь у него есть фото и видео сексуального характера с потенциальной жертвой.

Злоумышленники заявляют о наличии таких записей, чтобы шантажировать жертву и вымогать у нее деньги. Они угрожает отправить записи знакомым, друзьям и родным жертвы, если она не выполнит их требований. На самом деле у злоумышленника нет никаких записей. Он просто использует методы социальной инженерии, чтобы напугать потенциальную жертву, вызвать у нее чувство стыда и заставить заплатить.

Как работает сексуальное вымогательство?

Сексуальное вымогательство основано на готовности людей платить, чтобы сохранить свои секреты, способные нанести им ущерб. С точки зрения потенциальной жертвы подобная атака — это внезапная угроза репутации.

Жертва может представить себе возможные последствия и увидеть все риски публикации интимных записей. Злоумышленники используют этот страх и применяют другие методы социальной инженерии. Они могут ограничить время, отведенное для оплаты, и создать впечатление, что система пользователя взломана. Кроме того, они могут перечислить действия, с помощью которых собираются навредить жертве.

Ниже приведен пример электронного письма с сексуальным вымогательством. 



Сначала злоумышленник утверждает, что ему известно о посещении жертвой сайтов для взрослых. Это прямая попытка вызвать у жертвы чувство вины и стыда. Мошенник утверждает, что полностью контролирует устройство потенциальной жертвы и что это позволило ему получить или подделать видео сексуального характера с жертвой. Все это убеждает, что преступник держит ситуацию под полным контролем.

Все это подкреплено угрозами отправить это компрометирующее видео контактам жертвы. Наконец, дело переходит к вымогательству. Жертве сообщается, что может уничтожить видео, если ему заплатят выкуп в биткоинах. Злоумышленник использует социальную инженерию: он ограничивает время и сообщает жертве, что у нее есть лишь 48 часов, чтобы заплатить.

Важно отметить: проверить истинность заявлений преступника невозможно. На практике подавляющее большинство подобных угроз часто оказываются блефом.  

Это пример типичного письма вымогателей, которые массово рассылаются пользователям. Для убедительности могут в письме могут указываться ваши старые — утекшие с откуда-либо — пароли, которые продаются на специализированных форумах. Также при подготовке своих кампаний по рассылке спама злоумышленники учитывают актуальные тенденции и события.

За последние два месяца мы отследили множество различных кампаний, связанных с сексуальным вымогательством, но чаще всего они относились к одному из двух типов. Один из них охватывает серию кампаний, связанных с повсеместным использованием программы Zoom во время карантина. Ко второму типу относятся кампании с ложными заявлениями об установке троянов в системах потенциальных жертв.

Рассылки, связанные с Zoom

Самая массовая кампания, которую мы обнаружили, была связана с возросшей популярностью Zoom во время пандемии. В частности, всплеск наблюдался в сезон зимних праздников в 2020 года. Злоумышленники заявляли, что благодаря критическим уязвимостям в приложении Zoom они якобы смогли получить доступ к устройству и камере пользователя.  

Преступники пытались получить от жертв деньги, используя методы социальной инженерии и упоминая известный в Америке скандал с Джеффри Тубином. Остаток письма состоял из типичных вымогательств. 

У кампаний этого типа была характерная черта: электронные письма выглядели так, будто они отправлены с почтового адреса пользователя самому себе. Это еще один метод социальной инженерии, цель которого — создать впечатление, что злоумышленник действительно контролирует систему пользователя. На самом деле адрес отправителя подделан, а более тщательный анализ позволял узнать настоящий адрес отправителя.

Рассылки, связанные с троянами

Кампании второго по полуряности типа полагались на угрозу со стороны троянских вредоносных программ.

Потенциальная жертва получала электронное письмо, в котором злоумышленники утверждали, что несколько месяцев назад они установили на ее устройство троянскую программу. Преступники заявляли, что эта программа записывала все действия потенциальной жертвы с помощью микрофона и веб-камеры, а также переправляла все данные с устройств, включая переписки, контакты и информацию из социальных сетей. Затем злоумышленники использовали типичный для вымогательства сценарий: требовали выкуп в криптовалюте. В конце письма они добавляли ложную информацию о «таймере», который якобы начинал отсчитывать время с момента получения письма. Так они ограничивали время, отведенное для платежа.

Как и в случае с кампаниями, связанными с Zoom, все эти угрозы были пустыми. Никаких троянов, которые нельзя было бы обнаружить, не было, запись не велась, данных жертв у злоумышленников не было. Таймер в электронном письме был одним из методов давления на пользователя.

Ниже приведен пример электронного письма в рамках англоязычной кампании по рассылке таких писем. Даже если не знаешь язык, видно что по структуре такое письмо совпадает с англоязычными.

Другие виды мошенничества и рост количества новых вариантов атак после праздников

Кампании, связанные с Zoom и троянами — далеко не единственные разновидности сексуального вымогательства, которые мы обнаружили. В некоторых случаях текст был написан на другом языке, а затем автоматически переведен с помощью онлайн-переводчиков.

Кроме того, мы заметили значительное увеличение количества писем с сексуальным вымогательством после 11 января. Похоже, злоумышленники возвращаются к работе после праздников. Мы встречали случаи сексуального вымогательства с упоминанием взломанных программ, программного обеспечения и сайтов, использования уязвимостей маршрутизатора, операционной системы или протокола RDP.

Бывают и реальные случаи вымогательства. Большая часть из них связана со случаями, когда злоумышленники сначала провоцируют жертву отправить им интимное видео (для этого часто используются фейковые аккаунты на сервисах знакомств), а уже затем вымогают деньги. Но имея на руках компромат, требования не оформляются ими в письмо, которое выглядит как обычный спам.

Как распознать мошенническое письмо

  • В sextortion-письме злоумышленники заявляют, будто у них есть запись экрана или видеозапись с интимными моментами из жизни пользователя.

  • Мошенники часто подчеркивают, в каком унизительном и неловком положении оказалась жертва, чтобы оказать на нее давление с целью получения выкупа — обычно в криптовалюте, например, в биткоинах.

  • Иногда текст письма может выглядеть так, будто его перевели с помощью Google Переводчика. По этому признаку еще проще догадаться, что письмо фальшивка.

  • В некоторых случаях в графе Отправитель отображается сам пользователь. Чтобы узнать настоящий адрес, достаточно кликнуть на имя отправителя.

  • Чтобы угрозы мошенников имели больший вес, они могут упоминать в письме ранее украденные пароли жертвы. Базы украденных паролей продаются в даркнете, и злоумышленники могут купить их без особого труда, чтобы посильнее напугать жертву.

Как защититься от «сексуального вымогательства»

  • Сохраняйте спокойствие. На самом деле у мошенников нет никаких видеозаписей: они используют методы социальной инженерии, чтобы пристыдить и напугать жертву, заставляя ее заплатить выкуп.

  • Игнорируйте sextortion-письма, как обычный спам: не отвечайте на них и не платите преступникам.

  • Если в письме упоминаются ваши ранее украденные пароли, смените их на более длинные и сложные и не повторяйтесь с другими вашими паролями. 

  • Используйте антивирусное ПО. Со специальными функциями антивируса Avast Premium Security вы будете уверены, что на вашем устройстве нет вредоносных программ, а к веб-камере никто не получал несанкционированного доступа. 

Следите за нашими новостями в социальных сетях ВКонтактеОдноклассникиFacebook и Twitter