Kas sekspressimine e. sextortion kellegi peal töötab kah?

Oktoober on Euroopa küberturvalisuse kuu ja seetõttu on paslik hetk ette võtta selline populaarne küberkuritegevuse liik nagu sextortion.

See on väljapressimine, milles kasutatakse mõnest igati ontlikust veebist lekkinud e-postiaadressi ja parooli kombinatsiooni koos väitega, et sinu kontole on neid teades sisse murtud ning varsti saavad kõik teada, milliseid saite sa külastad ja mida sealt vaatad.

Sa ju ei kasuta mitmes veebisaidis sama parooli? Või vähemalt on täiesti kindel, et peamiste sotsmeedia-kontode ja eposti-teenuse paroolid on unikaalsed? Kui ei, siis vaheta need kohe ära, võimalusel lisa kahetasemeline tuvastus (2-factor authentication) … ja siis loe edasi, millisest riskist ennast just vabastasid.

Mina sain paar päeva tagasi sellise kirja, kus nii kirja adressaadina kui ka sisus on näha üks minu poolt mitteolulistes veebides kasutaja registreerimiseks kasutatav parool mille alguses “k” ja lõpus “2”*:

Ehk siis mulle kirjutab keegi rahvusvahelise häkkerirühmituse liige ning nagu ma juba aru peaks saama, on nad mu pets@tehnokratt.net kontole sisse häkkinud, teavad parooli ja saavad sealt ka kirju saata. Lisaks olla nende valduses minu sotsmeediakontod ning sõnumirakendused.

Aga see pole veel kõik – nad olevat ligi pääsenud ka minu arvutile ja selle veebikaamerale ning mind on tabatud n-ö in flagranti ja neil on olemas samaaegsed videosalvestused minust ja sellest, mida ma vaatasin.

Piinliku juhtumi võiks aga unustada, kui ma kannaks neile 700$ väärtuses Bitcoini etteantud aadressile.

Kas keegi selle triki õnge läheb?

Raske öelda. Mina olen kirja saanud 28. septembril kell 10:52:45 Zulu ehk Greenwichi aja järgi. Kui vaadata kirjas viidatud Bitcoini-rahakoti käivet, siis on see selline:

Tunnike pärast minule saabunud kirja on hakanud pihta laekumised, 0.1 BTC on tolle hetke kursiga umbes 700$ ehk sama mida minult küsiti. Erinevate summade küsimine sõltuvalt juhusest või tippdomeenist on selle skeemi puhul tavapärane, küllap väljapressijad jälgivad turu käitumist ja otsustavad, kas tõhusam on saada väiksemalt hulgalt ohvritelt 700$ või suuremalt 350$.

Ei saa loomulikult välistada, et raha tilgutamine on kampaania osa ning peabki jätma mulje, et häkkerigrupeeringul läheb hästi.

Kui sul on kogemust BTC-ülekannete analüüsiga, siis võin jagada aadressi ja kuulaks huviga – antud puhul leiab laekumisi nii mitmetuhande kasutuskorraga wallet’itest kui ka sellistest, kuhu on tulnud 2 BTC, millest on makstud 0.1 BTC “selle kontole” ja 1.9 kontole, millelt on omakorda makstud 0.1 ja 1.8 edasi…

Kuidas sekspressimine töötab?

Tõepoolest, kirja saatjaks oleks justnagu mina ise… aga see tuleb Korea IP-aadressilt mida tehnokratt.net SPF-kirje teps mitte lubatuks ei pea:

Koos kõigi muude probleemidega annab Zone spämmitõrje kirjale 27 punkti, tegemist on selge spämmiga mis saab külge märke või läheb spämmikausta. Paraku on kirja saatja-aadressi võltsimine äraütlemata lihtne – ja sama lihtne on huvilisel leida interneti tumedamalt poolelt lekkinud kasutaja-andmete baase, kus kirjas e-postiaadressid ja avatekstina talletatud paroolid.

Näiteks üks mõne-aasta-tagune juhtum, eeldatavasti on kõik selle veebi kasutajad saanud teavituse ning hoolsalt oma paroolid nii seal kui teistes kohtades ära muutnud:

Udustamine on siinkohal pigem uudishimu tekitaja – googeldades nähaolevaid paroole leiad hetkega nii selle kui mitmed muud Eestit puudutavad paroolitõmmised.

Ehk siis võetakse üks selline nimekiri ning saadetakse kõigile e-postidele nende parool koos ülaloleva kirjaga ja jäädakse raha ootama.

… ja küberturvakuu?

Nagu alguses mainitud, on oktoober Euroopas küberturvalisuse kuuks kuulutatud, sellega seotud Eestis toimuvad sündmused leiab ECSM veebist – ning Riigi Infosüsteemi Ameti eestvedadmisel toimub 15.10.2018 talgupäev.

Mina ei ole veel välja mõelnud, kuhu loengut pidama minna, aaaga… Kange kiusatus on võtta suur televiisor ja teha midagi huvitavat mõne ostukeskuse ava-alas. Nagu näiteks jagada tasuta wifit ja näidata ekraanil seda, kui pealtvaadatav see võrk tegelikult on.


* korduva parooli kasutamine “mitteolulistes veebides” ei pruugi siiski olla parim turvapraktika, sest on võimalik, et kusagil on mingi suva foorum, kuhu keegi saab minu e-postiga sisse logida ja spämmi postitada… Pigem võiks siis juba ka suva e-posti kasutada, nt mõnda mailinator.com pakutavat 😉

6 mõtet “Kas sekspressimine e. sextortion kellegi peal töötab kah?” kohta

  1. Kas ma mingit kindlustust ei saa osta?
    Et olen nii in flagranti kui tahan ja SPF-ist ei tea üldse midagi, aga kui jama juhtub, siis vähemalt plekitakse mu häbiplekid kinni?

    1. Saab ikka, tänapäeval on ka kindlustajad varmad plokiahelat kasutama. Võin rahusvahelise kindlustusettevõtjate liidu BTC-rahakoti aadressi jagada, saad raha sinna kanda ja tunned ennast kohe kindlamalt 😉

      Aga ära sa kindlustusele muidugi ütle, et plaanid olla “nii in flagranti kui tahan” – miskipärast nad tahavad, et jama ilmneks ootamatult.

  2. Pets, miks see kiri läbi tuleb kui spf kirje valideerimine ebaõnnestub? Kas spf’i mõte pole mitte see, et teatud domeeni alt saab kirju saata vaid kokkulepitud IP (range) tagant?

    1. No ei saa ma jätta klassikuid parafraseerimata: «And thirdly, the SPF is more what you’d call “guidelines” than actual rules. Welcome aboard the Rspamd, Mister Potter!»

      Andris on epostimaailmas tegelikult toimuvast kenasti kirjutanud: https://blog.zone.ee/2016/12/14/voitlus-spammiga-ja-skriptide-internet/

      Ehk siis ka SPF -all annab vaid teataval määral (miinus)punkte, täpselt samuti nagu muud valideerimisel ilmnenud probleemid. Kahetsusväärselt on ka tuntud sõidujagamisteenuse arve väliste tunnuste alusel spämm, samuti ühe Eesti kapitalil põhineva panga liisingarve ja telekommunikatsiooniteenustele viitava nimega telekommunikatsiooniettevõtte teade telekommunikatsioonivõrgu planeeritud hooldustööde kohta 🙂

      Selle viimase illustratsiooniks sobib kenasti rida kirja päisest:
      Content-Type: multipart/alternative; boundary=”a1b2c3d4e3f2g1″
      Content-Type: multipart/alternative; boundary=”a1b2c3d4e3f2g1″

      Yep, sama boundary’t on 2x ning ilmselgelt on keegi selle hardcodenud kuhugi hoolsa käsitöö tulemusena…

  3. Tere
    Mul on selline küsimus, et sain täpselt sama sisuga kirja kahel järjestikusel päeval, eile ja täna. Kas seda on oodata ka homme? Kui mitu päeva jutti nad saadavad seda mulle või see ei lakkagi enam ajani kui ma pean selle meili kustutama?
    Ette tänades vastuste eest.

    1. Tuleb tunnistada, et neid kirju on saadetud juba pikemat aega ja saadetakse ilmselt ka edasi.

      Seejuures on minu spämmi-kaustas alates tänasest keskööst 8 sellist kirja, veidi vahelduvate teemadega (Your Secret Life, account was hacked, Delete Message After Reading!, Account Issue, Security Warning ja Your Account Was Hacked!)

      Meie spämmitõrje tundub neid üsna kenasti tuvastama, samuti GMaili oma. Kui mõne Zones oleva postkasti puhul need spämmiks ei liigitu, siis ilmselt on konto spämmitaluvuse seadetes midagi nihu.

Kommenteerimine on suletud