Misschien heb je gehoord over de recente opleving van phishing-aanvallen die in het teken staan van sextortion. Dit is een vorm van afpersing waarbij gedreigd wordt om webcambeelden van seksuele handelingen van het slachtoffer openbaar te maken. Vaak sturen cybercriminelen een wachtwoord van de ontvanger mee als bewijs dat diens computersysteem is gehackt.
Dit is geen nieuw fenomeen. Sinds eind 2017 komen er veel meldingen binnen van deze vorm van afpersing. Wat wel nieuw is, is de schaalomvang en de hardnekkigheid van de afpersers. Daarmee weten cybercriminelen succes te boeken. Wij analyseerden een steekproef van sextortion-mails. Het ging om meer dan 60.000 berichten naar 8.497 e-mailadressen. Hoe gingen de cybercriminelen nu precies te werk, en wat leverde het hen op?
Oude wachtwoorden leveren geld op
Alle geanalyseerde e-mailberichten vertoonden een vergelijkbaar patroon als in bovenstaande afbeelding. De phishing-campagne steekt als volgt in elkaar:
- Er werd een voor de gebruiker bekend wachtwoord mee verzonden als ‘bewijs’ dat diens computersysteem gehackt was;
- De twijfel die hierdoor bij de gebruiker ontstond, werd benut om hem of haar af te persen;
- De cybercriminelen beweerden over beelden te beschikken van het slachtoffer die seksuele handelingen uitvoerde tijdens het bekijken van internetporno;
- Het slachtoffer werd gevraagd om losgeld te betalen in de vorm van bitcoins via een bitcoin-adres.
Het ‘bewijs’ is natuurlijk flinterdun. Wachtwoorden zijn namelijk relatief eenvoudig te bemachtigen voor cybercriminelen. De meeste online diensten slaan wachtwoorden op in de vorm van gebruikersnaam, e-mailadres, een in een hash-code omgezet wachtwoord, enzovoorts. De wachtwoorden hebben dus maar zelden de vorm van platte tekst. Sommige diensten maken voor het beveiligen van wachtwoorden echter gebruik van zwakke hashing-algoritmes. Cybercriminelen die over voldoende tijd en middelen beschikken, kunnen in dat geval de wachtwoorden van gebruikers kraken. Vaak worden er overzichten met gekraakte wachtwoorden en bijbehorende e-mailadressen via fora op het dark web verkocht. En het is onvermijdelijk dat ze een keer openbaar worden gemaakt op het internet.
De ene hacker is de andere niet
Een aantal sextortion-campagnes was opvallend sterk gecoördineerd. Zo werden veel berichten verzonden via nieuw aangemaakte Outlook.com-adressen. De e-mailadressen kwamen niet voor in publieke overzichten van gelekte aanmeldingsgegevens. Dit wijst erop dat een aantal adressen speciaal voor de phishing-campagne werden gemaakt.
Een groot aantal van berichten leek daarentegen afkomstig te zijn van opportunistische hackers die weinig kaas gegeten hadden van grootschalige phishing-campagnes. Zij stuurden gebrekkig gestructureerde berichten de wereld in die gelukkig nooit langs een mailserver of spamfilter zouden komen.
De aanhouder wint
Deze sextorsion-berichten zijn makkelijk te herkennen en verdwijnen al snel in de prullenbak. Je zou dus denken dat ontvangers zich niet laten dwingen om losgeld te betalen. In twee maanden tijd detecteerden we echter ruim 60.000 sextorsion-berichten. Wanneer cybercriminelen maar genoeg phishing-mails de wereld in sturen, is de kans groot dat ze slachtoffers vinden die wel overstag gaan. Dit zijn vaak mensen die:
- dezelfde wachtwoorden voor verschillende accounts gebruiken
- recentelijk internetporno hebben bekeken
- in het bezit zijn van een webcam
Binnen de steekproef werden 8.497 verschillende slachtoffers bestookt. Het zal dan ook geen verbazing wekken dat sommige hackers succes hadden. In 26 gevallen werd er losgeld betaald via de bitcoin-adressen. Hiermee is een totaalbedrag van 28.000 dollar gemoeid. Hoewel deze steekproef slechts een klein percentage vertegenwoordigt van alle ontvangers van sextortion-berichten, is het duidelijk dat de cybercriminelen nieuwe manieren uitproberen om munt te slaan uit gelekte inloggegevens.
Bluf
Als cybercriminelen écht toegang tot je computer zouden hebben, je wachtwoorden achterhalen en beelden via je webcam zouden vastleggen, is het onwaarschijnlijk dat sextortion hen de meeste winst oplevert. De kans is groter dat zij meekijken met je gebruik van bijvoorbeeld internetbankieren, zodat ze financiële informatie kunnen verzamelen en verkopen. Je kunt er dus vanuit gaan dat een sextortion-crimineel bluft.