"Ditt lösenord är..."

Marcus Olsson,

Just nu cirkulerar stora mängder med bedrägerimail där någon påstår att de har ens lösenord och att de via "vuxensidor" har installerar malware i ens dator och därmed har bilder på en. Bara för ett par dagar sedan klassificerades detta som ett globalt problem då förekomsten av dessa mail har upptäckts i fler än 42 länder.1

Ett sådant mail kan se ut på följande vis (något förkortad):

I know [password] is your pass. Lets get directly to the purpose. You do not know me and you're probably thinking why you're getting this e mail? Nobody has compensated me to investigate you.

Well, I actually setup a software on the adult video clips (porn material) site and guess what, you visited this site to experience fun (you know what I mean). While you were watching video clips, your internet browser initiated working as a RDP that has a key logger which provided me with accessibility to your display screen and also web cam. after that, my software program obtained your entire contacts from your Messenger, social networks, and email . Next I created a double video. 1st part shows the video you were viewing, and 2nd part displays the view of your cam, and its you.

[...]

Solution should be to compensate me $7000. We will describe it as a donation.

[...]

You'll make the payment by Bitcoin (if you don't know this, search "how to buy bitcoin" in Google).

BTC Address to send to: 1sLKuX7AsfSYjbF2DeVtyDkUjASWGTcx6 [CASE SENSITIVE so copy and paste it]

If you may be making plans for going to the police, very well, this e mail can not be traced back to me. I have taken care of my actions. I am also not attempting to charge you a whole lot, I wish to be compensated.

You have one day in order to pay. I have a unique pixel in this email message, and at this moment I know that you have read through this email. If I don't get the BitCoins, I definitely will send your video to all of your contacts including members of your family, co-workers, etc.

I ämnesraden sätter de även "Ditt lösenord är [password]" eller t.o.m. bara "[password]" (smart!).

Givetvis ett solklart fall av utpressning, men det finns inga skäl för oro (mer än att ens lösenord är ute på vift, vilket kan vara illa nog) – det finns ingen som helst sanning i deras hot.

Men det är däremot en fascinerande titt på hur stor våg av utpressning detta faktiskt är och vilken teknik de använder.

Hur får de tag på ens lösenord?

Det finns otaliga platser där någon kan ha kommit över dina lösenordsdetaljer. De senaste åren har stora företag så som LinkedIn, Adobe, Disqus och Kickstarter råkat ut för dataintrång. Samtidigt sker nya mindre uppmärksammade intrång varje dag på flera mindre sajter.

Sök av din e-postadress på haveibeenpwned.com, kommer den upp som flaggad – då vet du garanterat att någon sitter på dina detaljer.

I mitt fall är det lustigt då det är ett väldigt specifikt lösenord som jag har skickat till mig som jag inte har använt på 4-5 år – så gissningsvis jobbar de med en ganska gammal lista (samtliga mail jag har fått innehåller samma lösenord).

Men samma som alltid gäller; använd unika lösenord, använd tvåfaktorsautentisering (via app, inte SMS) och gärna även en lösenordshanterare där du lagrar lösenorden offline.

Vilka är utpressarna?

Tyvärr är detta omöjligt att veta, troligtvis skickas mailen ifrån redan kapade datorer. Efter att ha kollat på ett antal så har de jag tagit emot skickats från hela världen, bl.a:

1197.231.230.177 (Lybien)
2154.125.68.227 (Senegal)
3112.133.230.155 (Indien)
445.232.92.2 (Chile)
5203.81.77.198 (Myanmar/Burma)
1197.231.230.177 (Lybien)
2154.125.68.227 (Senegal)
3112.133.230.155 (Indien)
445.232.92.2 (Chile)
5203.81.77.198 (Myanmar/Burma)

Resten av innehållet verkar vara spoofat så man kan inte heller se vilket språk ursprungskällan talar/skriver med.

Är detta ens lönsamt?

Ja tyvärr – annars skulle de inte hålla på.

Men, Bitcoin som är det utpressarna är ute efter är inte lätt att hantera för de flesta och givetvis gör det att flera av dem som känner sig rädda över hoten inte ens vet hur man ska gå tillväga.

"Bitcoin-scam övervakaren" bitcoinwhoswho.com har sett att vissa adresser har fått inbetalningar på flera tusen dollar, medan de allra flesta inte har mottagit någonting alls.

Men att kapa datorer och skicka mail är i princip gratis, så varje peng de får in gör att de går med vinst.

De fyra unika adresserna jag har mottagit står just nu på 0 transaktioner.

11sLKuX7AsfSYjbF2DeVtyDkUjASWGTcx6
21MVqxnHJDaK7tr9KETYPHkzQNBxqMuoMfA
31CJiidNNj7VmkPzrQsK2CxB3LypCayemTi
41Kjhuv3EnM3cMunaaRQQioWenDLbrpbQBL
515KmnfnMZgxxqsDfXQDT1YDf72g9JHhEHS
11sLKuX7AsfSYjbF2DeVtyDkUjASWGTcx6
21MVqxnHJDaK7tr9KETYPHkzQNBxqMuoMfA
31CJiidNNj7VmkPzrQsK2CxB3LypCayemTi
41Kjhuv3EnM3cMunaaRQQioWenDLbrpbQBL
515KmnfnMZgxxqsDfXQDT1YDf72g9JHhEHS

Lustigt är också att summan verkar bli lägre i varje mail jag har fått (från $7000 och nu nere på $1000), förmodligen testar de sig fram till vad som är effektivt.

Kan de se om man har öppnat mailet?

Flera av mailen skriver t.ex:

I've a specific pixel in this email message, and now I know that you have read this message.

Det är bara bluff. Tekniken finns givetvis – varje gång du öppnar ett nyhetsbrev så är risken stor att det loggas genom en sådan "pixel". Men dessa meddelanden verkar bara bestå av ren text samt vissa p och br-taggar.

Och för att undvika upptäckt av bluffen (och förmodligen i försök att passera sämre spam-filter) så är mailet base64-kodat så att man inte kan se innehållet utan att först avkoda det.

Slutligen, även om de faktiskt hade en tracking-pixel så skulle de allra flesta mailtjänsterna och klienterna inte tillåta den att laddas i denna typen av uppenbara spam-mail.

Sammanfattningsvis

Oroa dig inte för de här mailen, men oroa dig för att ditt lösenord faktiskt finns att hitta på nätet. Se över alla tjänster du använder (särskilt de viktiga så som Facebook, din mail o.s.v.) och byt till ett säkert lösenord.


  1. "42 countries report sextortion email scam" bitcoinwhoswho.com