Krypteret PDF og autentisk kodeord i V2-indbakke: »While you were watching the porn ...«

»First option is to ignore this email. In this case, I will send the recorded video clip of yours to all of your contacts and just imagine the humiliation you will feel from this. Don't forget that this can also affect your relationship as well.«

Sådan lyder en trussel i en krypteret PDF, der forleden havnede i en indboks hos Version2.

Afpresseren gør det klart, at hvis ikke der betales 1.000 dollars (ca. 6.800 kroner) i kryptovalutaen bitcoin (BTC) inden for 48 timer, så vil en video af mail-modtageren, der ser porno, bliver sendt rundt til vedkommendes kontakter på blandt andet Facebook.

Der er tale om svindel og humbug, hvor afpresseren via en tom trussel forsøger at skræmme et offer til at punge ud.

Desværre er denne form for afpresning ikke i sig selv et nyt fænomen. Den mail, Version2 har modtaget, har dog flere tekniske karakteristika, som vi mener – samlet set – gør afpresningsforsøget nævneværdigt.

Lækket kodeord.

I mailens emnefelt er der indsat et forholdsvis unikt kodeord, som indehaveren af Version2-indbakken faktisk har anvendt. Også i flere sammenhænge, selvom det ifølge flere guidelines ikke er best practice.

Ved at nævne et reelt kodeord, som mailmodtageren faktisk har brugt, prøver svindleren at sandsynliggøre, at vedkommende har kompromitteret diverse konti hos offeret.

Det fremgår også af indledningen i den krypterede PDF:

»I do know your passwords (check this email subject for one of the passwords), I do know about your daily life, I do know about your internet activities but you do not know anything about me, and you must be wondering why you are getting this email, right?«

I stedet for at undersøge, hvordan 1.000 dollars i bitcoin bedst fremskaffes, har vi brugt tiden på at lave et opslag på hjemmesiden haveibeenpwned.com, som sikkerhedsmanden Troy Hunt står bag.

Det er en tjeneste, hvor det er muligt at søge frem, hvorvidt en mailadresse eller et kodeord har optrådt i et datalæk.

En søgning viser, at den konkrete Version2-mailadresse, som angriberen har sendt til, optræder i adskillige læk. Heraf to datalæk, hvor også oplysninger om kodeord, knyttet til en konto, har været involveret.

Så i udgangspunktet er informationer om det pågældende kodeord kombineret med mailadressen frit tilgængelig - og altså også for afpresseren.

Hvis man vil være ekstra sikker - og tør bruge den - så er der også en tjeneste på Troy Hunts side, hvor man kan søge direkte på, hvorvidt et konkret kodeord er lækket. Her optræder V2-kodeordet også.

Indehaveren af V2-indbakken vidste godt, at kodeordet optrådte på haveibeenpwned.com. Og blandt andet derfor har det pågældende kodeord i nyere tid ikke har været brugt til noget vigtigt.

Pointen er, at bare fordi et tidligere brugt kodeord optræder i en mail, så er det ikke ensbetydende med, at udsagnet om, at Facebook og andre konti er blevet kompromitteret, er rigtigt. Heller ikke selvom kodeordet faktisk skulle have været anvendt i disse sammenhænge.

Rimeligt godt lavet

I sin helhed ser den afpresning, vi har modtaget på Version2-redaktionen, dog ganske troværdig ud.

It-sikkerhedskonsulent hos Dubex Jacob Herbst er bekendt med netop den type afpresnings-mail, som Version2 har modtaget.

Han fortæller, at man hos Dubex har set »temmelig mange af den slags på det seneste«.

»Og ja – de er rimelig godt lavet, og brugen af et gammelt password giver netop følelsen af, at de måske har haft adgang, som de siger. Og er med til at øge motivationen hos modtagerne til at betale,« skriver Herbst.

»Mange internetbrugere er komplet uvidende om, at deres password er blevet lækket i nogle af de store angreb, der har været, og bagmændene forsøger jo helt klart at udnytte denne manglende viden – og så det faktum, at mange kigger på voksenhjemmesider – til at overbevise modtageren om, at de rent faktisk har den video, som de siger, de har. Desværre er der så nogle, der bliver nervøse og ender med at betale – og var der ikke det, så ville de ikke blive ved med at sende den slags mails.«

Et kig i hovedbogen

Et opslag i den åbne hovedbog (eng. ledger) bag bitcoin vidner om, at der faktisk er blevet betalt.

Kryptovalutaen er anonym forstået på den måde, at der i udgangspunktet ikke er knyttet eksempelvis et personnavn til en bitcoin-adresse.

Men alle kan lave et opslag i hovedbogen og se, hvilke værdier der bliver sendt til hvilke adresser.

Vi har indtastet adressen fra trusselsmailen på blockchain.com.

Her fremgår det, at der i skrivende stund er overført i alt 0.20761660 BTC til adressen fordelt på to transaktioner. Det er ca. 1.943 dollars (lidt over 13.000 kroner). Altså tæt på 2.000 dollars, hvilket kunne indikere, at i hvert fald to ofre har følt sig pressede til at overføre de 1.000 dollars, der kræves i den krypterede PDF.

Afpresseren kan have brugt flere forskellige adresser i forbindelse med en kampagne, og derfor kan det samlede udbytte være langt højere end de tæt på 2.000 dollars.

Den krypterede PDF

Som nævnt har afpresseren indsat de nærmere detaljer, herunder selve truslen, i en krypteret PDF.

Selve mailen, som PDF’en er vedhæftet, indeholder en kort tekst og så et kodeord til at åbne PDF’en med. Der er vel at mærke ikke tale om det samme kodeord, som blandt andet kunne søges frem hos Troy Hunts tjeneste, og som målet for svindlen altså har brugt i flere sammenhænge.

Men hvorfor ikke bare indsætte truslen direkte i mailen i stedet for det ekstra trin med at dekryptere en PDF? I princippet kunne det jo være, at potentielle ofre står af undervejs på grund af problemer med at åbne PDF’en.

Det skyldes nok, at når vedhæftede filer er krypterede, så scanner diverse sikkerhedsfiltre i udgangspunktet ikke indholdet for eksempelvis malware. Eller for den sags skyld for en generisk afpresningstekst, der kunne (læs: burde) få alarmklokkerne til at ringe i en god sikkerhedsløsning.

»Det er også vores opfattelse, at det eneste formål med krypteringen er at undgå, at den bliver fanget af normal spam-mail-filtering. Vi har p.t. ikke set nogle eksempler, hvor den også har indeholdt egentlig skadelig kode,« skriver Jacob Herbst.

Som nævnt er denne form for afpresning ikke i sig selv et helt nyt fænomen, men afpresserne lader til hele tiden at finde på nye tricks, der skal få folk til at gå i fælden. Og i den forbindelse er oplysning vigtig, mener Jacob Herbst.

»Derfor er det rigtig godt, at I sætter fokus på denne type forsøg på afpresning, så endnu flere bliver opmærksomme på det og dermed undlader at betale. Selvom læserne af Version2 nok allerede ved det, men så fortæller de forhåbentlig deres forældre og venner om det.«

Afpresningsforsøg som ovenstående kan anmeldes til politiet her.