Cibersegurança– Nova campanha de ciberextorsão já valeu milhares de dólares em bitcoins a hackers

A campanha criminosa divulgada pela ESET, propagada por e-mail, viu os atacantes alegarem a posse de vídeos das vítimas a assistir a conteúdos pornográficos.

A mecânica consistiu no envio pelos cibercriminosos de uma mensagem com a senha do utilizador no assunto, numa tentativa de provar que os atacantes tinham acesso aos seus dados pessoais e que a extorsão que detalhavam no corpo do email era real.
Assustados ao ver na caixa de entrada um e-mail em inglês que alegava “Eu sei que sua palavra-passe é *****”, vários utilizadores que abriram a mensagem foram vítimas de uma tentativa de extorsão na qual os cibercriminosos informavam ter um vídeo das vítimas a assistir a pornografia e que o material, supostamente, foi obtido depois de um ataque por malware, o que permitiu assumir o controlo da webcam.

Na verdade, os atacantes não tinham qualquer vídeo. Tratou-se de uma campanha de Engenharia Social em que cibercriminosos usaram contas de email, palavras-passe e outros dados que foram obtidos como resultado de falhas de segurança sofridas por plataformas como LinkedIn, Adobe, Bitly e Tumblr. No entanto, vários dos utilizadores que receberam o e-mail caíram na armadilha e acabaram por pagar em bitcoins aos cibercriminosos – apesar de várias das palavras-passe usadas pelos scammers serem antigas.

Os atacantes conseguiram obter o equivalente a 500 mil dólares norte-americanos em bitcoins. Este número surgiu depois da análise de cerca de 770 carteiras usadas por cibercriminosos como parte da campanha.