Výhružné maily i s urgencí plateb

Vyděrači, kteří vyhrožují zvěřejněním kompromitujícího videa, stupňují tlak. Pomalu každý, jehož mailová adresa je uveřejněna někde na webových stránkách, dostává nevyžádanou poštu. Už asi před rokem začaly přicházet výhružné maily. Neznámý hacker v nich popisuje, jak získal s pomocí trojského koně přístup k uživatelovu počítači, stáhl si všechny kontakty (a to dokonce z Facebooku) a také zaznamenal kamerou a mikrofonem počítače nebo notebooku video (i když u počítač kameru třeba vůbec nemá!) choulostivé video, na kterém zaznamenal uživatele při sledování pornografických stránek. Nechybí zmínka o zajímavém vkusu uživatele.

V posledních dnech ale vyděrači stupňují tlak. Nejenže rozesílají obdobné maily i na adresy, které běžně nejsou dostupné (zřejmě se jim podařilo získat větší databázi adres), tak i dávají poslední varování, že má uživatel poslední příležitost zachránit si svůj „společenský život“. Stoupla i částka, na ktarou si své mlčení cení. Tou je 0.209 Bitcoinu, což je při současném klesajícím kurzu Bitcoinu asi 41.400 korun.

Podívejme se na některé zajímavé detaily vyděračských mailů. Stále je útočníci odesílají z mailové adresy uživatele, což je podle nich důkaz, že se jim opravdu podařilo ovládnout počítač uživatele. Odeslat mail s adresou kohokoliv, i třeba neexistující, je však stejně snadné, jako napsat na papírovou obálku dopisu falešnou adresu odesílatele. Mailoví klienti (programy na elektronickou poštu) umožňují zadat jméno a adresu dle libosti:

Další zajímavý prvek, který ve vyděračském mailu používají, jsou zástupné znaky u slov, které vyhledávají antispamové filtry. Jsou to v tomto případě slova ʍasturbace, vίdeo, vɑrování, Ƿornografie, Hʌcker nebo Şpyware. Pokud by tato slova zapsali v mailu normálně, většina antispamových řešení by mail označila jako spam a k uživateli by se nemusel dostat. Znaky, které nahradí některé písmeno slova, jsou pro uživatele bez potíží čitelé, ale jako vyhledávaný řetězec u antispamových programů může projít, a mail je tak doručen uživateli.

Co na to antivirus? Každý počítač připojený k internetu by měl být chráněný antivirem. Protože útočník použil „ovladač Trojan“, který každé čtyři hodiny aktualizuje, náš antivirus nic nedokáže najít. K tomu lze poznamenat jen to, že antivirus nehledá viry, trojské koně a nežádoucí programy jen podle známých signatur, ale i podle chování, počtu výskytu na jiných počítačích po celém světě, změny aplikace nebo identifikací podezřelých instrukcí kódu. Kvalitní antivirus by takové chování s největší pravděpodobností odhalil a oznámil.

Jazyková stránka výhrůžného mailu opět pokulhává, což lze ale přičíst na vrub elektronickému překladu. Některé věty jsou ale úsměvné:
„Jakmile bude platba obdržena, odstraním video a nikdy mě nikdy nebudete slyšet.
Dám ti 48 hodin, abych zaplatil.“

Útočník poprvé uvádí i možnost kontaktu: otevřete svůj poznámkový blok a napište – 48H ++ – a uložte.
Ve skutečnosti je to jen trik, kterým zvyšuje tlak na uživatele a snaží se mu podsunout myšlenku, že je jeho počítač skutečně v moci a pod kontrolou útočníka.

Odkud tyto maily ve skutečnosti přicházejí? V hlavičce mailu je vidět skutečného odesílatele , který předal výhrůžný mail na mailový server mx.obelizing.streit.xyz z IP adresy 167.99.75.45. Serveru se identifikoval adresou agnes-707@obelizing.streit.xyz, ale to zřejmě jen proto, aby byla hlavička mailu kompletní a pro antispamové programy byl tak celý mail důvěryhodný. Adresa je již nedostupná a cesta k ní končí na routeru if-ae-11-2.thar1.svq-singapore.as6453.net v Singapuru. Adresa patří kanadskému poskytovateli připojení TATA Communications (Canada) Ltd. Pokud byl útočník alespoň trochu šikovný, využil anonymní VPN nebo proxy a mohl sedět na druhém konci světa, daleko od Singapuru. Mailserver, který byl zprovozněný zřejmě jen pro odeslání velkého počtu výhružných mauilů, již dávno neexistuje.
Doménu druhé úrovně streit.xyz si registroval 9. 9. 2019 subjekt NameSilo, LLC, jenž uvedl svoji zemi Arizonu v USA (což jsou údaje, které se ale nijak neuvěřují). Útočník si dal záležet a pro uvedenou doménu i subdoménu obelizing.streit.xyz vygeneroval i důvěryhodnou DKIM signaturu, což byl důvod, že mail byl bez problémů doručen všem uživatelům, přestože dvě hodnocení navýšili spamové skóre mailu až na hodnotu 4.9, čímž došlo k označení (ale ne zamítnutí nebo odstranění) jako SPAM.

Zde jsou příklady popisovaných mailů. První je nejrozšířenější varianta, kterou dostávají uživatelé i několikrát denně. Ten druhý, upomínka „neuhrazeného výpalného“, je novinka, která se zatím vykytuje výjimečně. (Skutečné adresy a jména byla v mailech pozměněna.)

From: petra2.novotna3@seznam.cz [mailto:petra2.novotna3@seznam.cz]
Sent: Saturday, September 28, 2019 10:00 PM
To: Petra Novotná
Subject: Bezpečnostní upozornění. petra2.novotna3@seznam.cz byl napaden!

Ahoj!

Jak jste si možná všimli, poslal jsem vám e-mail z vašeho účtu.
To znamená, že mám plný přístup k vašemu účtu.

Díval jsem se na tebe už několik měsíců.
Skutečnost je, že jste byli nakaženi škodlivým softwarem prostřednictvím webu pro dospělé, který jste navštívili.

Pokud o tom nejste obeznámeni, vysvětlím to.
Trojský virus mi dává plný přístup a kontrolu nad počítačem nebo jiným zařízením.
To znamená, že na vaší obrazovce vidím vše a zapnutí fotoaparátu a mikrofonu, ale o tom nevíte.

Mám tak také přístup ke všem vašim kontaktům.

Proč váš antivirus nezjistil škodlivý software?
Odpověď: Mám ovladač Trojan, aktualizuji jeho podpisy každých 4 hodiny, takže váš antivirus je tichý.

Udělal jsem video, které ukazuje, jak se uspokojíte v levé polovině obrazovky a na pravé polovině vidíte video, které jste sledovali.
Jedním kliknutím na tlačítko můžu toto video odeslat všem vašim e-mailům a kontaktům v sociální síti.

Pokud to chcete zabránit, přeneste částku 257€ na svou adresu bitcoin (pokud nevíte, jak to udělat, pak napište na Google: „Koupit Bitcoin“).

Bitcoin adresa: 1DHymxN8JqSwECGLPVbRMVWXrod8vvii5A

Jakmile bude platba obdržena, odstraním video a nikdy mě nikdy nebudete slyšet.
Dám ti 48 hodin, abych zaplatil.
Mám upozornění při čtení tohoto dopisu a časovač bude fungovat, když uvidíte tento dopis.

Podávání stížností někam nemá smysl, protože tento e-mail nemůže být sledován jako mého že a Bitcoin adres.
Nedělám žádné chyby.

Pokud zjistím, že jste podali zprávu nebo sdíleli tuto zprávu s někým jiným, video bude okamžitě distribuováno.

S pozdravem!

Od: Aʼnonymní Hʌcker <agnes-707@obelizing.streit.xyz>
Datum: 28. 9. 2019 11:14
Předmět: ***SPAM*** Toto je moje poslední vɑrování Jan!
Komu: jan@jan-sluzby.cz


POSLEDNÍ VAROVÁNÍ jan@jan-sluzby.cz!

Máte konečnou příležitost zachránit svůj
společenský život – já si srandu !!

Dávám vám posledních 72 hodin, abych provedl platbu,
než pošlu vίdeo s vaší ʍasturbací všem svým
přátelům a spolupracovníkům.


Naposledy jste navštívili Ƿornografickou stránku s
mladými teenagery, stáhli jste a automaticky nainstalovali
Şpyware, který jsem vytvořil.

Můj program zapnul fotoaparát a zaznamenal akt vaší
ʍasturbace a vίdeo, které jste sledovali při ʍasturbování.
Můj software také stáhl seznam e-mailových kontaktů
a seznam vašich přátel na Facebooku ze zařízení.

Mám oba- Jan.mp4 – s vaší ʍasturbací
a soubor se všemi kontakty na pevném disku.

Jste velmi zvrhlí!


Pokud chcete, abych odstranil oba soubory a uchoval vaše
tajemství, musíte mi poslat platbu Bitcoinem.
Dávám vám posledních 72 hodin na převod prostředků.

Pokud nevíte, jak s Bitcoinem platit, navštivte
Google a hledejte – jak nakupovat bitcoin.

—————————————-
Okamžitě odešlete na tuto
adresu Bitcoin 50.000 CZK = 0.2086037 BTC:

3E4ZdaWYPLNzXmp8336F8ugG84aZnyGQfn

(zkopírujte a vložte)

—————————————-
1 BTC = 240.120 CZK právě teď, takže odešlete přesně 0.2086037 BTC
na výše uvedenou adresu.


Nesnaž se mě podvádět!
Jakmile otevřete tento e-mail, budu vědět, že jste jej otevřeli.

Tato adresa Bitcoinu je propojena pouze s vámi, takže budu
vědět, zda jste odeslali správnou částku.
Když zaplatíte v plné výši, odstraním oba
soubory a deaktivuji software.

Pokud platbu neposíláte, pošlu vaše vίdeo s ʍasturbací všem
přátelům a spolupracovníkům ze seznamu kontaktů,
který jsem si stáhnul.


Zde jsou opět platební údaje:


—————————————-
Odeslat:

0.2086037 BTC

této adrese Bitcoin:

3E4ZdaWYPLNzXmp8336F8ugG84aZnyGQfn

(zkopírujte a vložte)
—————————————-


Můžete navštívit policii, ale nikdo vám nepomůže.
Vím, co dělám.
Nežiji ve vaší zemi a vím, jak zůstat anonymní.

Nesnažte se oklamat mě – budu vědět okamžitě – můj Şpysoft
nahrává všechny webové stránky, které navštívíte,
a všechny klávesy, které stisknete.
Pokud ano – pošlu tento ošklivý záznam všem,
koho znáte, včetně vaší rodiny!

Nepodváděj mě! Nezapomeňte na hanbu a pokud
tuto zprávu ignorujete, váš život bude zničen.

Čekám na vaši platbu Bitcoinem.

Aʼnonymní Hʌcker


P.S. Pokud potřebujete více času na nákup a odeslání BTC,
otevřete svůj poznámkový blok a napište – 48H ++ – a uložte.
Tímto způsobem mě můžete kontaktovat.
Uvažuji o tom, že vám ještě 48 hodin před odesláním vίdea
vašim kontaktům, ale pouze tehdy, když vίdím,
že se opravdu snažíte koupit bitcoin.



(((((((((((((((((((((((((((((((((((((((((((((
Jsme anonymní.
My neodpouštíme. Nezapomínáme.
Očekávejte nás.
))))))))))))))))))))))))))))))))))))))))))))))

Napsat komentář