"Zhakowałem tę skrzynkę e‑mail". Pomysł na szantaż, wykorzystujący słabości interfejsów
"Właśnie otrzymałem maila od niby jakiegoś hakera, którego nadawcą jestem rzekomo ja, a dokładnie moja skrzynka mailowa" – napisał we wiadomości do redakcji jeden z czytelników, podpisujący się jako Janek. Ale czy przestępca naprawdę włamał się na jego pocztę czy może jedynie dobrze udaje? Odpowiedź brzmi: to drugie.
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Samo założenie ataku jest stare jak świat. Napastnik twierdzi, że dysponuje kompromitującymi Janka materiałami, których nie ujawni o ile ten przekaże okup na portfel bitcoin.
Stosuje jednak niecodzienną metodę uwiarygodnienia się, twierdząc, że maila z żądaniem okupu wysłał wprost z adresu pocztowego Janka. Ten ostatni korzysta z poczty na Interii i rzeczywiście widzi swój adres w polu nadawcy. To daje do myślenia.
Na całe szczęście wcale nie oznacza, że Janek padł ofiarą ataku. W nagłówkach maili są dwa pola FROM, definiujące nadawcę. Jeden dla protokołu, drugi zaś – klienta.
W ten sposób przestępca może wysłać maila z dowolnego serwera, podpisując się innym, równie dowolnym adresem. Większość programów pocztowych czytelnie wskazuje obydwa adresy, ale akurat Interia z jakiegoś powodu wyświetla wyłącznie pole klienta, co w tym przypadku pozwoliło zasiać u czytelnika nieco paniki. Bezpodstawnie oczywiście.
Skąd pochodzi żądanie okupu?
Zasadniczo rzecz ujmując, może pochodzić zewsząd – z dowolnej skrzynki. Do Janka, jak wynika z nagłówka wiadomości, wysłano je poprzez sender PHP z irlandzkiej domeny. Nie jest to jakikolwiek dowód na rzekome zhakowanie należącej do niego skrzynki na Interii.
Received: from fmx44.pf.interia.pl (localhost [127.0.0.1])by fmx44.pf.interia.pl (Postfix) with ESMTP id 2A6866EFEDfor <xxx@interia.eu>; Thu, 3 Oct 2019 12:40:36 +0200 (CEST)
Received: from ancheta.0j0x.vip (ancheta.0j0x.vip [185.24.233.77])(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))(No client certificate requested)by fmx44.pf.interia.pl (Postfix) with ESMTPSfor <xxx@interia.eu>; Thu, 3 Oct 2019 12:40:33 +0200 (CEST)
Received: by ancheta.0j0x.vip (Postfix, from userid 10000)id EB2AA84CB; Thu, 3 Oct 2019 13:39:46 +0300 (+03)
X-Envelope-From: <ooppsss@0j0x.vip>
To: xxx@interia.eu
Subject: Ważne: xxx@interia.eu adres e-mail został zhakowany.
X-PHP-Originating-Script: 10000:c.php
From: xxx@interia.eu <xxx@interia.eu>
Message-Id: <20191003103946.EB2AA84CB@ancheta.0j0x.vip>
Date: Thu, 3 Oct 2019 13:39:46 +0300 (+03)
X-IPL-Priority-Group: 0-0
X-IPL-VerifiedSender: ooppsss@0j0x.vip
X-IPL-SAS-SPAS2: -2.9000
X-Interia-Antivirus: OK
X-IPL-SAS-IP: 185.24.233.77
X-IPL-SAS-ZERO: 11
X-IPL-SAS-UREP: -6
X-IPL-SAS-UREP-PRIV: 0
X-IPL-SAS: -3.1
X-IPL-Envelope-To: xxx@interia.eu
MIME-Version: 1.0
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printableZapłaciłem. Co teraz mogę zrobić?
W tym przypadku portfel przestępcy jest pusty, ale zapewne adres poszedł do tysięcy osób i ktoś może jednak zapłacić. W takich przypadkach nie bez kozery wykorzystywane są kryptowaluty. Sieć transakcyjna blockchain gwarantuje pełną anonimowość – jest zdecentralizowana i rozproszona. Nie ma żadnych szans, aby ewentualny przekaz odzyskać.
