Los estafadores de Sextortion siguen chillando con contraseñas robadas


El correo electrónico incluye la contraseña de la víctima potencial como evidencia de un hack, pero hay más de lo que parece.

A principios de abril, se detectó una nueva campaña de estafa de sextortion que circulaba en países de ambos lados del Atlántico. Los correos electrónicos no deseados que fueron detectados por el laboratorio de investigación de ESET han estado tratando de engañar a las víctimas involuntarias al referirse a contraseñas antiguas que han sido parte de antiguas violaciones de datos.

La campaña no es completamente nueva, ya que reutiliza viejas estafas. La primera vez que los estafadores hicieron olas con estas tácticas fue en 2018 con una campaña que también incluía la contraseña de la víctima en la línea de asunto. El correo electrónico en sí afirmaba que la contraseña se obtuvo al comprometer uno de los dispositivos del destinatario con malware.

A pesar de lo aterrador que esto pueda parecer a primera vista, estas son solo tácticas de ingeniería social y de miedo, empleadas por los cibercriminales para generar pánico en los destinatarios de estos correos electrónicos. En pocas palabras, es muy poco possible que su computadora haya sido accedida o comprometida, al menos no por el método sugerido en el correo electrónico, por lo que no hay necesidad de entrar en pánico.

De hecho, un related la campaña ha sido vista recientemente por investigadores de ESET: volvió a analizar el contenido para reflejar la situación de pandemia genuine e incluye una amenaza para infectar a toda la familia de la víctima con coronavirus.

La nueva campaña de extorsión toma prestadas, o más bien se basa en las versiones anteriores. Los estafadores comienzan con un mensaje alarmante desde el principio para llamar la atención de la víctima, generalmente al incluir una de las contraseñas antiguas de la víctima que probablemente fue robada como parte de una violación de datos anterior. Continuando, los estafadores afirman que el dispositivo de la víctima estaba infectado por algún tipo de malware cuando visitaba un sitio internet pornográfico, y eso les permitió obtener tanto la contraseña de la víctima como el acceso a su dispositivo. Los estafadores luego pretenden haber hecho un online video de la víctima y el supuesto contenido «no seguro para el trabajo».

Una vez que los ciberdelincuentes hayan asustado lo suficiente a sus posibles víctimas, exigen que se pague una suma dentro de las 24 horas o se lanzará el vergonzoso video. Por lo standard, quieren que el pago se realice en bitcoin.

Después de analizar algunos de los casos derivados de esta nueva campaña de estafa de distorsión sexual, los investigadores de ESET descubrieron que probablemente comenzó en algún momento alrededor del 8th o 9th de abril. Verificaron las direcciones de billetera de bitcoin compartidas por los atacantes y descubrieron que no les iba muy bien, por decirlo suavemente. Por el contrario, durante la campaña de 2018, los estafadores pudieron engañar a las víctimas con casi medio millón de dólares.

Para reiterar, es importante tener en cuenta que la contraseña no proviene de la máquina comprometida de la víctima potencial. Todas las migas de pan indican que la campaña aprovecha las credenciales tomadas de grandes fugas de datos e infracciones más antiguas, lo que, desafortunadamente, no es una ocurrencia rara. Los investigadores de ESET ingresaron algunas de las direcciones de correo electrónico de las víctimas en ¿Me han pwned? sitio world-wide-web, y de hecho descubrió que sus contraseñas y correos electrónicos se recopilaron de servicios que sufrieron violaciones de datos como LinkedIn, Taringa, MyFitnessPal o Canva, entre otros.

¿Que puedo hacer?

Antes de volar en un frenesí, debe dar un paso atrás y pensar en toda la estafa. ¿Alguna vez has visitado un sitio porno? Si la respuesta es no, bueno, sabes que el correo electrónico es falso y no tienes nada de qué preocuparte. E incluso si lo hiciera (y es seguro decir que no estaba solo), en el mejor de los casos, podría ser vergonzoso si el El secreto fue revelado. Pero para reiterar, los ciberdelincuentes no tienen evidencia alguna, video u otro, de las actividades previstas de una posible víctima.

Otra cosa que puede hacer es usar Google o el motor de búsqueda que prefiera e ingresar la palabra estafa, entre comillas, junto con una frase interesante del correo electrónico fraudulento. Luego puede desplazarse por los resultados, de los cuales puede haber unos pocos miles, y ver si algo le parece vagamente acquainted. Muy a menudo encontrará ejemplos de estafas similares que han estado flotando y que ya han sido analizadas por varios investigadores y expertos en el campo.

Si todavía no está seguro de lo que está tratando, puede consultar un lista de otros pasos compilado por el investigador de ESET Bruce P. Burrell.








Enlace a la noticia original