Kas sekspressimine e. sextortion kellegi peal töötab kah?

See on väljapressimine, milles kasutatakse mõnest igati ontlikust veebist lekkinud e-postiaadressi ja parooli kombinatsiooni koos väitega, et sinu kontole on neid teades sisse murtud ning varsti saavad kõik teada, milliseid saite sa külastad ja mida sealt vaatad.

Sa ju ei kasuta mitmes veebisaidis sama parooli? Või vähemalt on täiesti kindel, et peamiste sotsmeedia-kontode ja eposti-teenuse paroolid on unikaalsed? Kui ei, siis vaheta need kohe ära, võimalusel lisa kahetasemeline tuvastus (2-factor authentication) … ja siis loe edasi, millisest riskist ennast just vabastasid.

Mina sain paar päeva tagasi sellise kirja, kus nii kirja adressaadina kui ka sisus on näha üks minu poolt mitteolulistes veebides kasutaja registreerimiseks kasutatav parool mille alguses “k” ja lõpus “2”*:

Ehk siis mulle kirjutab keegi rahvusvahelise häkkerirühmituse liige ning nagu ma juba aru peaks saama, on nad mu pets@tehnokratt.net kontole sisse häkkinud, teavad parooli ja saavad sealt ka kirju saata. Lisaks olla nende valduses minu sotsmeediakontod ning sõnumirakendused.

Aga see pole veel kõik – nad olevat ligi pääsenud ka minu arvutile ja selle veebikaamerale ning mind on tabatud n-ö in flagranti ja neil on olemas samaaegsed videosalvestused minust ja sellest, mida ma vaatasin.

Piinliku juhtumi võiks aga unustada, kui ma kannaks neile 700$ väärtuses Bitcoini etteantud aadressile.

Kas keegi selle triki õnge läheb?

Raske öelda. Mina olen kirja saanud 28. septembril kell 10:52:45 Zulu ehk Greenwichi aja järgi. Kui vaadata kirjas viidatud Bitcoini-rahakoti käivet, siis on see selline:

Tunnike pärast minule saabunud kirja on hakanud pihta laekumised, 0.1 BTC on tolle hetke kursiga umbes 700$ ehk sama mida minult küsiti. Erinevate summade küsimine sõltuvalt juhusest või tippdomeenist on selle skeemi puhul tavapärane, küllap väljapressijad jälgivad turu käitumist ja otsustavad, kas tõhusam on saada väiksemalt hulgalt ohvritelt 700$ või suuremalt 350$.

Ei saa loomulikult välistada, et raha tilgutamine on kampaania osa ning peabki jätma mulje, et häkkerigrupeeringul läheb hästi.

Kui sul on kogemust BTC-ülekannete analüüsiga, siis võin jagada aadressi ja kuulaks huviga – antud puhul leiab laekumisi nii mitmetuhande kasutuskorraga wallet’itest kui ka sellistest, kuhu on tulnud 2 BTC, millest on makstud 0.1 BTC “selle kontole” ja 1.9 kontole, millelt on omakorda makstud 0.1 ja 1.8 edasi…

Kuidas sekspressimine töötab?

Tõepoolest, kirja saatjaks oleks justnagu mina ise… aga see tuleb Korea IP-aadressilt mida tehnokratt.net SPF-kirje teps mitte lubatuks ei pea:

Koos kõigi muude probleemidega annab Zone spämmitõrje kirjale 27 punkti, tegemist on selge spämmiga mis saab külge märke või läheb spämmikausta. Paraku on kirja saatja-aadressi võltsimine äraütlemata lihtne – ja sama lihtne on huvilisel leida interneti tumedamalt poolelt lekkinud kasutaja-andmete baase, kus kirjas e-postiaadressid ja avatekstina talletatud paroolid.

Näiteks üks mõne-aasta-tagune juhtum, eeldatavasti on kõik selle veebi kasutajad saanud teavituse ning hoolsalt oma paroolid nii seal kui teistes kohtades ära muutnud:

Ehk siis võetakse üks selline nimekiri ning saadetakse kõigile e-postidele nende parool koos ülaloleva kirjaga ja jäädakse raha ootama.

… ja küberturvakuu?

Nagu alguses mainitud, on oktoober Euroopas küberturvalisuse kuuks kuulutatud, sellega seotud Eestis toimuvad sündmused leiab ECSM veebist – ning Riigi Infosüsteemi Ameti eestvedadmisel toimub 15.10.2018 talgupäev.

Mina ei ole veel välja mõelnud, kuhu loengut pidama minna, aaaga… Kange kiusatus on võtta suur televiisor ja teha midagi huvitavat mõne ostukeskuse ava-alas. Nagu näiteks jagada tasuta wifit ja näidata ekraanil seda, kui pealtvaadatav see võrk tegelikult on.

* korduva parooli kasutamine “mitteolulistes veebides” ei pruugi siiski olla parim turvapraktika, sest on võimalik, et kusagil on mingi suva foorum, kuhu keegi saab minu e-postiga sisse logida ja spämmi postitada… Pigem võiks siis juba ka suva e-posti kasutada, nt mõnda mailinator.com pakutavat 😉