Oszuści wciąż straszą rzekomymi nagraniami z laptopowych kamer. Nie daj się nabrać

Oszuści wciąż straszą rzekomymi nagraniami z laptopowych kamer. Nie daj się nabrać08.07.2019 01:42
Nie daj się nabrać na rzekome nagrania (Pixabay)

Miała miejsce kolejna fala maili, mająca na celu nastraszenie posiadaczy kamerek internetowych. Wedle (chybotliwej składniowo) treści wiadomości, cyberprzestępcy mają być w posiadaniu nagrań… aktywności podejmowanych przez ofiary podczas przeglądania stron dla dorosłych. Warunkiem ich nieopublikowania ma być wpłacenie okupu w walucie BitCoin, równowartości 250 euro. Podstęp jest szyty naprawdę grubymi nićmi, więc nadejście nowej iteracji tego samego oszustwa jest doprawdy zdumiewające.

Niedzielną nocą (siódmego lipca), na redakcyjnej skrzynce pocztowej zaczęły się pojawiać wiadomości obwieszczające nagranie adresata. To dość osobliwa sugestia, biorąc pod uwagę to, że skrzynka jest zbiorcza. Ponieważ redakcja nie przeprowadza kolektywnych projekcji pornograficznych (ewentualnie nikt mnie na nie zaprasza), od razu widać, że kampania jest masowa i niezbyt przemyślana. Tym razem treść wiadomości jest jeszcze gorzej przetłumaczona, niż poprzednio – czego dokonano niewątpliwie maszynowo. Angielskie słowa z błędami literowymi („harvrested”) są pozostawione w niezmienionej postaci. Kampania nie jest uwiarygodniona żadnym zabiegiem, jak zeszłoroczne doklejenie rzeczywiście wyciekłego hasła z upublicznionych baz.

Coraz bardziej niechlujne próby

Do zapłaty okupu podawany jest wyłącznie portfel BitCoin, bez żadnej metody zakomunikowania powiązania transakcji z konkretną osobą (toż to niemal fundusz celowy!). Jedynym trudem zadanym sobie przez oszustów jest dodanie wzmianki o rzekomym wykorzystaniu podatności EternalBlue. Załatano ją ponad dwa lata temu i obecnie jest znana wyłącznie z zapisów historycznych, dotyczących inwazji WannaCry. Co jest więc takiego ciekawego w tym marnym podejściu do wyłudzenia pieniędzy od losowych internautów? Kilka kwestii, zarówno technicznych, jak i „społecznych”.

Detale techniczne

Zacznijmy od technicznych. Nagłówki nadawcy są rzecz jasna sfałszowane, nie jest nim bowiem ani linia lotnicza LOT ani montownia hal z płyt warstwowych. Rozwiązany adres RevDNS silnie wskazuje, że wiadomości pochodzą z komputerów osobistych tzw. „osób fizycznych”:


Received: from ip-xx-xx-xxx-xx.multi.internet.cyfrowypolsat.pl
	([xxx.xxx.xxx.xxx] helo=ip-xx-xx-xxx-xx.multi.internet.cyfrowypolsat.pl) by
	ASSP.nospam with SMTP (2.6.1); 7 Jul 2019 16:54:32 +0200
	
Received: from v-39554-unlim.vpn.mgn.ru 
	([xxx.xxx.xxx.xxx] helo=v-39554-unlim.vpn.mgn.ru)
	by ASSP.nospam with SMTP (2.6.1); 7 Jul 2019 19:01:36 +0200

Są to adresy IP z puli przeznaczonej dla klientów domowego internetu (MGN jest rosyjskim ISP). Treść jest złożona w sposób wskazujący na wykorzystanie programu Microsoft Outlook 2007 lub 2010. Można więc założyć, że wysłane maile to efekt żmudnego oskryptowania programu Outlook. To ciekawa hipoteza, ponieważ wysyłanie wiadomości e-mail przez program Outlook jest mniej podejrzane dla antywirusów, niż wysyłanie go z niepodpisanego programu EXE zawierającego wirusa. Dlatego w mailu znajduje się góra śmieci z Worda:


xmlns:v=3D"urn:schemas-microsoft-com:vml"
xmlns:o=3D"urn:schemas-microsoft-com:office:office"
xmlns:w=3D"urn:schemas-microsoft-com:office:word" xmlns:m=3D"http://schemas.microsoft.com/office/2004/12/omml"
xmlns=3D"http://www.w3.org/TR/REC-html40"
<meta name=Generator content="Microsoft Word 12 (filtered medium)">

Nowy trend w malware?

To właśnie takie rzeczy są ciekawsze, niż sama kampania. Pakiet Office jest programowalny za pomocą komponentów COM oraz OLE, a sięgać do nich można skryptowo, z poziomu języków Visual Basic, Scripting Edition oraz Windows PowerShell. Mechanizm ten jest dostępny również w wersjach 365 rozpowszechnianych abonamentowo. Co więcej, w ich przypadku niemożliwe jest zainstalowanie oddzielnych komponentów, co w praktyce gwarantuje obecność Outlooka na komputerze.

Potencjalny wzrost popularności skryptów-wirusów wykorzystujących oskryptowanie pakietu Office, zamiast brutalnego wykorzystywania jego słabości (jak Edytor Równań) to nowe wyzwanie dla oprogramowania antywirusowego. Niedawne kampanie ponownie pokazały, jak nieskuteczne jest ono obecnie przeciw silnie zaciemnionym skryptom. Czas pokaże, na ile ten nowy kierunek będzie eksplorowany.

Microsoft Office to także platforma programistyczna
Microsoft Office to także platforma programistyczna

Modelu programowania Office nie da się bowiem praktycznie wyłączyć, w przeciwieństwie do np. makr. Fragmenty pakietu Office po prostu same z siebie obiektami COM. Potrafi to być bardzo przydatne, co być może udowadnia arkusz przygotowany na potrzeby artykułu o programie Windows Defender. W praktyce tworzy jednak nową, niepokrytą testem, ścieżkę wykonawczą o nieograniczonych możliwościach. Może być interesująco.

Czy to się opłaca

Drugą interesującą kwestią, raczej mniej techniczną niż powyższa, jest to w jaki sposób tego typu kampanie w ogóle się jeszcze opłacają. Można tu polemizować, że wynajem botnetu to dziś z racji efektu skali marne grosze i dzięki temu notorycznie zdarzać się będą pomylone i kompletnie nieskuteczne inicjatywy. Być może. Aczkolwiek dzięki temu, że oszuści życzą sobie przelewu z BitCoinach, mamy możliwość przeanalizować opłacalność ich inicjatywy. Specyfika mechanizmu blockchain pozwala się wgryźć w historię operacji na konkretnym portfelu, ponieważ wbudowana ciągłość i jawność danych jest pośrednio mechanizmem gwarantowania wiarygodności całej waluty.

Dziewięć wpłat już przyszło... (BitRef)
Dziewięć wpłat już przyszło... (BitRef)

W ten sposób możemy się dowiedzieć, że istotnie już dziewięć osób dokonało wpłat. Oznacza to zarobek w wysokości 8746 złotych. Not great, not terrible. W porównaniu z dużymi internetowymi oszustwami są to grosze, ale biorąc pod uwagę rozpaczliwie niską jakość maila, na który jednak ktoś się nabrał, jest to kwota wystarczająca by uznać operację za opłacalną. Zapewne właśnie dlatego widzimy ją już w trzeciej odsłonie.

BitCoin taki prosty?

Coś jednak niezmiennie budzi wątpliwości. Istotnie, nie brak na świecie osób łatwowiernych. Gdyby było inaczej, nie byłoby wokół tak wielu oszustów. Jednak bycie tak naiwnym, by uwierzyć w niniejszego maila, a zarazem na tyle świadomym technicznie, by poprawnie przeprowadzić transakcję BitCoin – to już coś trudniejszego do wytłumaczenia. Czyżby obsługa portfeli BitCoin była już dziś aż tak prosta? Czy może te dziewięć przelewów to efekt przysług typu „pomóż mi zrobić przelew w bitcoinach, tylko nie zadawaj żadnych pytań”? To również możliwe, wszak tematyka maila może być dla niektórych kłopotliwa, przez co wstyd wygrywa z rozsądkiem.

Tyle da się w jeden dzień zarobić na ludzkiej łatwowierności (xe.com)
Tyle da się w jeden dzień zarobić na ludzkiej łatwowierności (xe.com)

Niesłusznie. Zwłaszcza, że – dając na chwilę wiarę oszustom – najpopularniejsze serwisy dla dorosłych są względnie bezpieczne. Chcąc rosnąć, stają się legalnym biznesem, dbają więc o bezpieczeństwo. Problemy zaczynają się na mniejszych i dziwniejszych serwisach. Takie bowiem zarabiają na mało renomowanych brokerach reklamowych, umieszczając ramki, która mogą zawierać złośliwe skrypty. Jeszcze niżej w hierarchii znajdują się strony, które same z siebie są złośliwe, tu jednak należy trafić z premedytacją, szukając na przykład treści o wątpliwej legalności lub galerii dołączanych do torrentów. Tutaj już nikt nie przejmuje się legalnością źródeł dochodu, więc wszystkie chwyty są dozwolone. Pornografia stała się jednak zwykłym biznesem, zresztą już dawno temu. I choć nie należy do treści, których dostawcom należy przesadnie ufać, bardzo często zaszkodzi ona bardziej naszej historii przeglądania, niż systemowi operacyjnemu.

Cyfrowy szantaż jest jednak możliwy. Zazwyczaj jednak przybiera zupełnie inną postać. Jeżeli chcemy zwiększyć pewność, że jesteśmy jedynie celem masowej akcji kiepskich straszaków (a niemal na pewno jesteśmy), warto sprawdzić, czy podawany portfel BTC nie został zgłoszony w bazie Bitcoin Abuse. Przede wszystkim jednak należy „nie brać cukierków od obcych” i nie wierzyć w każdego otrzymanego maila. Niniejsza kampania różni się od słynnych nigeryjskich przekrętów jedynie operowaniem na wstydzie.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na