Ny våg av porr-phising avslöjad av Cisco Talos

Säkerhetsforskarna på Cisco Talos har identifierat och analyserat pågående organiserade utpressningskampanjer som bygger på så kallad “Sextortion” (porrutpressning). Utpressningen sker genom så kallade phising-mejl som skickats från datorer i länder som Ryssland, Indien och Vietnam. Utpressningsmejlen är skrivna på flertalet språk inklusive svenska.
Sedan i somras har tiotusentals internetanvändare utsatts för återkommande utpressningsmejl med hot om att publicera information eller bilder av offret med sexuell anknytning.
Cisco Talos analyser har funnit att utpressarna samlat på sig information så som mejladresser och lösenord som blivit offentligt tillgängliga i samband med andra större dataintrång. Informationen används för att utföra dessa Sextortion-attacker.
Och det är tillvägagångssättet som gör att den här attacken utmärker sig, utpressarna har egentligen ingen kompromenterande information om offren. Utan de använder sig av offentligt läckt information, så som lösenord, för att övertyga offren att de besitter sexuellt material som de hotar att sprida om inte en inbetalning sker.
Cisco Talos har analyserat utskick från två väldigt likartade spamkampanjer. En som påbörjades 30 augusti och en från 5 oktober. Båda kampanjerna är fortfarande aktiva när detta skrivs.
Utpressningsmejlen har skickats från IP-adresser från ett stort antal länder men omkring 50 procent kommer från Ryssland, Vietnam, Indien, Indonesien och Kazakstan. Mejlen har varit på flera språk: engelska, tyska, italienska, japanska, koreanska, arabiska, men även svenska, norska och finska.
Totalt har Cisco Talos samlat in 233 236 spammeddelanden via SpamCop under perioden 30 augusti till 26 oktober 2018. Spamutskicken är gjorda från hela 137,606 unika IP-adresser – vilket innebär att de flesta adresserna bara skickat ett par meddelanden var. 15,826 unika mejladresser har varit måltavlor för spammejlen – vilket innebär att i genomsnitt har varje adress tagit emot 15 spammeddelanden.
I spammedelandet hävdar avsändaren att denne installerat en programvara på offrets dator och påstår sedan att denne porrsurfat varpå angriparen tagit över personens webbkamera och filmat personen och dennes skärm.
Utpressaren hotar med att sprida den påstådda videon om inte offret går med på en betalning på mellan 1000 och 7000 USD som ska betalas in till en adress som går till en Bitcoin-plånbok.
I skrivande stund har Bitcoin-plånböckerna som är kopplade till utpressningsattacken ett sammantaget värde på cirka 146 000 USD. Dock visar Cisco Talos analys att cyberbrottslingarna använt samma Bitcoin-plånböcker i andra spamattacker också, så exakt hur stor del av pengarna som kan härledas till den pågående ”Sextortion-attacken” är svårt att säga.