Krypteret PDF og autentisk kodeord i V2-indbakke: »While you were watching the porn ...«

Afpresnings-mails a la 2019 har flere tricks oppe i ærmet, der skal få nervøse ofre til at punge ud til it-kriminelle.

»First option is to ignore this email. In this case, I will send the recorded video clip of yours to all of your contacts and just imagine the humiliation you will feel from this. Don't forget that this can also affect your relationship as well.«

Sådan lyder en trussel i en krypteret PDF, der forleden havnede i en indboks hos Version2.

Afpresseren gør det klart, at hvis ikke der betales 1.000 dollars (ca. 6.800 kroner) i kryptovalutaen bitcoin (BTC) inden for 48 timer, så vil en video af mail-modtageren, der ser porno, bliver sendt rundt til vedkommendes kontakter på blandt andet Facebook.

Der er tale om svindel og humbug, hvor afpresseren via en tom trussel forsøger at skræmme et offer til at punge ud.

Desværre er denne form for afpresning ikke i sig selv et nyt fænomen. Den mail, Version2 har modtaget, har dog flere tekniske karakteristika, som vi mener – samlet set – gør afpresningsforsøget nævneværdigt.

Lækket kodeord.

I mailens emnefelt er der indsat et forholdsvis unikt kodeord, som indehaveren af Version2-indbakken faktisk har anvendt. Også i flere sammenhænge, selvom det ifølge flere guidelines ikke er best practice.

Ved at nævne et reelt kodeord, som mailmodtageren faktisk har brugt, prøver svindleren at sandsynliggøre, at vedkommende har kompromitteret diverse konti hos offeret.

Det fremgår også af indledningen i den krypterede PDF:

Afpresningsbrevet som Version2 modtog i form af en krypteret PDF. Illustration: screenshot, Jakob Møllerhøj

»I do know your passwords (check this email subject for one of the passwords), I do know about your daily life, I do know about your internet activities but you do not know anything about me, and you must be wondering why you are getting this email, right?«

I stedet for at undersøge, hvordan 1.000 dollars i bitcoin bedst fremskaffes, har vi brugt tiden på at lave et opslag på hjemmesiden haveibeenpwned.com, som sikkerhedsmanden Troy Hunt står bag.

Det er en tjeneste, hvor det er muligt at søge frem, hvorvidt en mailadresse eller et kodeord har optrådt i et datalæk.

En søgning viser, at den konkrete Version2-mailadresse, som angriberen har sendt til, optræder i adskillige læk. Heraf to datalæk, hvor også oplysninger om kodeord, knyttet til en konto, har været involveret.

Så i udgangspunktet er informationer om det pågældende kodeord kombineret med mailadressen frit tilgængelig - og altså også for afpresseren.

Hvis man vil være ekstra sikker - og tør bruge den - så er der også en tjeneste på Troy Hunts side, hvor man kan søge direkte på, hvorvidt et konkret kodeord er lækket. Her optræder V2-kodeordet også.

Indehaveren af V2-indbakken vidste godt, at kodeordet optrådte på haveibeenpwned.com. Og blandt andet derfor har det pågældende kodeord i nyere tid ikke har været brugt til noget vigtigt.

Pointen er, at bare fordi et tidligere brugt kodeord optræder i en mail, så er det ikke ensbetydende med, at udsagnet om, at Facebook og andre konti er blevet kompromitteret, er rigtigt. Heller ikke selvom kodeordet faktisk skulle have været anvendt i disse sammenhænge.

Rimeligt godt lavet

I sin helhed ser den afpresning, vi har modtaget på Version2-redaktionen, dog ganske troværdig ud.

It-sikkerhedskonsulent hos Dubex Jacob Herbst er bekendt med netop den type afpresnings-mail, som Version2 har modtaget.

Han fortæller, at man hos Dubex har set »temmelig mange af den slags på det seneste«.

»Og ja – de er rimelig godt lavet, og brugen af et gammelt password giver netop følelsen af, at de måske har haft adgang, som de siger. Og er med til at øge motivationen hos modtagerne til at betale,« skriver Herbst.

»Mange internetbrugere er komplet uvidende om, at deres password er blevet lækket i nogle af de store angreb, der har været, og bagmændene forsøger jo helt klart at udnytte denne manglende viden – og så det faktum, at mange kigger på voksenhjemmesider – til at overbevise modtageren om, at de rent faktisk har den video, som de siger, de har. Desværre er der så nogle, der bliver nervøse og ender med at betale – og var der ikke det, så ville de ikke blive ved med at sende den slags mails.«

Et kig i hovedbogen

Et opslag i den åbne hovedbog (eng. ledger) bag bitcoin vidner om, at der faktisk er blevet betalt.

Kryptovalutaen er anonym forstået på den måde, at der i udgangspunktet ikke er knyttet eksempelvis et personnavn til en bitcoin-adresse.

Men alle kan lave et opslag i hovedbogen og se, hvilke værdier der bliver sendt til hvilke adresser.

Vi har indtastet adressen fra trusselsmailen på blockchain.com.

Her fremgår det, at der i skrivende stund er overført i alt 0.20761660 BTC til adressen fordelt på to transaktioner. Det er ca. 1.943 dollars (lidt over 13.000 kroner). Altså tæt på 2.000 dollars, hvilket kunne indikere, at i hvert fald to ofre har følt sig pressede til at overføre de 1.000 dollars, der kræves i den krypterede PDF.

Afpresseren kan have brugt flere forskellige adresser i forbindelse med en kampagne, og derfor kan det samlede udbytte være langt højere end de tæt på 2.000 dollars.

Den krypterede PDF

Som nævnt har afpresseren indsat de nærmere detaljer, herunder selve truslen, i en krypteret PDF.

Selve mailen, som PDF’en er vedhæftet, indeholder en kort tekst og så et kodeord til at åbne PDF’en med. Der er vel at mærke ikke tale om det samme kodeord, som blandt andet kunne søges frem hos Troy Hunts tjeneste, og som målet for svindlen altså har brugt i flere sammenhænge.

Men hvorfor ikke bare indsætte truslen direkte i mailen i stedet for det ekstra trin med at dekryptere en PDF? I princippet kunne det jo være, at potentielle ofre står af undervejs på grund af problemer med at åbne PDF’en.

Det skyldes nok, at når vedhæftede filer er krypterede, så scanner diverse sikkerhedsfiltre i udgangspunktet ikke indholdet for eksempelvis malware. Eller for den sags skyld for en generisk afpresningstekst, der kunne (læs: burde) få alarmklokkerne til at ringe i en god sikkerhedsløsning.

»Det er også vores opfattelse, at det eneste formål med krypteringen er at undgå, at den bliver fanget af normal spam-mail-filtering. Vi har p.t. ikke set nogle eksempler, hvor den også har indeholdt egentlig skadelig kode,« skriver Jacob Herbst.

Som nævnt er denne form for afpresning ikke i sig selv et helt nyt fænomen, men afpresserne lader til hele tiden at finde på nye tricks, der skal få folk til at gå i fælden. Og i den forbindelse er oplysning vigtig, mener Jacob Herbst.

»Derfor er det rigtig godt, at I sætter fokus på denne type forsøg på afpresning, så endnu flere bliver opmærksomme på det og dermed undlader at betale. Selvom læserne af Version2 nok allerede ved det, men så fortæller de forhåbentlig deres forældre og venner om det.«

Afpresningsforsøg som ovenstående kan anmeldes til politiet her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Per Jørgensen

Men jeg har nu anmeldt disse angreb flere gange til Politiet og hører reelt ikke noget retur!
Selv ikke engang et målrettet Cryptolocker anngreb eller lign.
(tror jeg normalt har 3-8 mails hver morgen for forskellige forsøg på afpresning, så det er jo på ingen måde et nyt fænomen)

Hvis der går op til 5-8 år inden politiet har viden og mandskab nok til at håndtere alle disse andmelderser der vil komme hvis alle meldte disse forsøg ind - og endeligt har jeg slet ikke hørt om Politiet har fanget nogle af disse og afgivet dom - så det er nok utopi at tro på Dansk Politi når op til disse standarder

  • 7
  • 0
Christian Münster

Hvor er alle hackerne i disse historier?

Jeg hører gang på gang historier i medierne af folk der har været flinke og informere store virksomheder, om deres sikkerhedsbrister ved at hacke sig ind i deres systemer. ja. Det lydet lidt tosset, for en lægmand.

Men; Med alle de tekniske resourcer af crackere og hackere der findes i denne verden, finder jeg det underligt at ikke én af disse selvudnævnte justis kæmpere, evt. kunne hacke sig frem til nogle af disse bagmænd / Script kiddies.

Hvis disse førnævnte hackere er så personligt interesseret i at fremvise dårlig sikkerhed, så find disse bagmænd. Eller send en flok idioter ud med boldbat, til disse bagmænds adresser og samtidig send et signal til verden, hvad der sker med den slags. ja. Selvtægt, politiet er jo magtesløse.

De gemmer sig sikkert på torNet eller noget, jeg ved det ikke, men hvis man virkelig ville, ville en kyndig teknisk person med viden om dark web finde frem til dem. Det er jo ikke højt intelligente og uddannede personer vi jagter her, ellers ville de jo gå efter langt mere indbringede IT kriminalitet.

  • 2
  • 14
Kasper Hansen

Jeg tror ikke helt du forstår hvordan hacking fungerer.
Sådan lidt simpelt:

99% af al hacking er tilfældig/lavesthængende frugt. De leder efter sårbarheder og hacker de steder hvor deres resultat viser sårbarheder. Det betyder at:
1) Målet skal være velkendt (typisk et firma)
2) Hvis der ikke er nogen umiddelbare sårbarheder er det videre til næste target

Målrettet hacking er SVÆRT. Det er den slags som NSA/CIA og andre efterretningstjenester typisk fokuserer på. Det er svært grænsende til umuligt for private fordi det kræver du kombinerer både teknisk viden, hacking evner og adgang til efterforskningsmuligheder på statsniveau for at kunne forbinde den virtuelle verden med den fysiske.

Du ser faktisk aktivistiske hackere hacke den slags - netop i dag har jeg læst at et komplet DB dump fra en nynazistisk hjemmeside (Iron March) er blevet frigivet - afslørende beskeder, ip og emails på alle brugere. Men de har ingen mulighed for at spore alle nazister/terrorister, spammere og scammere i verden. Hovedsageligt fordi de fleste af dem ikke har en hjemmeside eller andet sted at starte med at lede efter sårbarheder så hvis du ikke ved hvem de er kan du intet gøre. Og nej - en IP hjælper ikke noget uden adgang til teleselskabernes databaser over hvem der besad den IP på et givent tidspunkt - igen en politiopgave.

  • 7
  • 0
Lasse Mølgaard

99% af al hacking er tilfældig/lavesthængende frugt. De leder efter sårbarheder og hacker de steder hvor deres resultat viser sårbarheder.

Præcist.

... og det er rigtigt nemt, hvis man bruger shodan.io.

Vi er nede i det område hvor vi snakker om "script kiddies".

1) Målet skal være velkendt (typisk et firma)
2) Hvis der ikke er nogen umiddelbare sårbarheder er det videre til næste target

Igen enig:

En klassiker som har dukket op fra tid til anden er SQL-injektion på formularer eller manipulation af URL i forbindelse med GET og POST.

Disse sårbarheder viser ikke du er en Über hacker, men blot af programmøren af hjemmesiden var et fjols.

Næh kom igen, når du fik adgang via en buffer overflow fejl eller fandt en fejl i krypteringen og derfor fik adgang.

Jeg ved så ikke helt hvor jeg vil placere opdagelse af at session cookie data var gemt det forkerte sted på skalaen fra script kiddies til rigtig hacker.

  • 1
  • 0
Michael Thomsen

Jeg har fået to bølger indenfor de sidste par uger. Den ene er fra et adobe-hack med kodeord, som nævnt i artiklen, og der er ikke overført noget; men den anden må være nogle almindelige PC'ere, som er blevet inficeret med en virus og har videresendt adressebogen til gerningsmændene. Her er ingen kodeord; men denne bølge har været betydelig mere succesfuld, idet der er lavet 10 transaktioner, så der pt står over 7000 usd på bitcoin adressen.

Jeg bruger sneakemail, så derfor har jeg rimelig godt styr på hvor emailadresserne er opsnappet fra.

  • 1
  • 0
Povl H. Pedersen

Der er intet nyt under solen her.
Det er en klassisk afpresningsmail uden at der er noget at afpresse. Vi har set den i et årstid
Man burde gøre det kriminelt at betale pengeafpresning og løsepenge, da det kun hjælper de kriminelle. Det burde straffes på linie med hæleri, da man hjælper kriminelle med at score en gevinst.

Password lækkes hele tiden, https://haveibeenpwned.com/ forsøger at holde styr på hvor mange der fejler.

Derudover, så er det dumt at betale til afpresseren. Det betyder bare at man har vist at data har værdi, og der vil så helt sikkert kommer yderligere krav.

  • 0
  • 0
Frithiof Andreas Jensen

Jeg husker ikke at have hørt om den slags "ransom"-angreb før i tiden (2010), før Bitcoin eksisterede.


Ork Jo. För 'Digtaliseringen' brugte man Western Union eller checks.

Jeg har fået adskillige forskellige varienter af de her mails. Hvis man inspicererer mail-headers for 'den förste IP adresse i käden' kan man se at de ikke kommer fra eens egen mail server, men alle mulige steder fra, Brazilien, Sverige, Tyskland.

De fleste 'nslookup's leder til hvad der ligner ADSL udbydere, d.v.s. 'almindelige folks' PC'er, formodentligt inficeret med en bot-service.

Hvilket er beroligende: Det er et automatiseret angreb. Passwordet kommer i mit tilfälde fra LinkedIn-hacket.

  • 0
  • 0
Log ind eller Opret konto for at kommentere