Шантаж на персональных данных

Последнее время хакерские группировки буквально соревнуются во взломах и добывании десятков миллионов учётных данных пользователей. Зачем? Похоже, что успешно «монетизировать» можно даже совершенно некритичные с виду обрывки информации. Главное — автоматизировать процесс запугивания потенциальной жертвы, прибыльность достигается масштабами «операций».

Шантаж на персональных данных

© фото Joan Curtis

Данные о банковских картах и другая платёжная информация всегда высоко котировались на «чёрном рынке», пакеты информации продавались и перепродавались. По своим сложным «тарифным» правилам, определяющим цены оптовых партий в зависимости от страны происхождения, «свежести» продаваемой базы (цена нелинейно падает буквально с каждым днём увеличения возраста информации) и многих других факторов. Свой мир и экосистема банковского мошенничества. А вот кому и зачем могут пригодиться довольно-таки скупые и отрывочные регистрационные данные пользователей? Бесспорно, в режиме «ручного труда» сбора данных об определённом человеке любой кусочек информации аккуратно ложится в собираемый пазл, но мы говорим о массовом черном рынке. И здесь слово «массовый» опять является ключевым. При соответствующем рвении, правильном подходе и полной автоматизации процесса колоссальные объёмы «сырых» данных можно превратить в живую денежку. Закон больших чисел: даже если 0.01% отреагируют на шантаж и заплатят, то «заработанное» с лихвой компенсирует затраты на приобретение малополезной (с виду) базы данных и расходы на всю автоматизацию плюс составление универсального письма будущим жертвам.

Ты «под колпаком», плати!

Шантаж на персональных данных

Очаровательное письмо, полученное мною несколько дней назад. Язык — английский, что намекает на целевую аудиторию шантажистов. Отправлено как бы с моего же email-адреса из сети связи братского Казахстана. Оригинал привожу больше «для порядка», и если у вас аллергия на импортный язык, то смело пропускайте. Перевод с комментариями – чуть ниже.

«Hello!
I'm a member of an international hacker group.

As you could probably have guessed, your account xxx@aha.ru was hacked, because I sent message to you from your account.

Now I have access to all your accounts!
For example, your password for xxx@aha.ru: xxxxx

Within a period from July 30, 2018 to October 9, 2018, you were infected by the virus we've created, through an adult website you've visited. So far, we have access to your messages, social media accounts, and messengers. Moreover, we've gotten full damps of these data.

We are aware of your little and big secrets...yeah, you do have them. We saw and recorded your doings on porn websites. Your tastes are so weird, you know...

But the key thing is that sometimes we recorded you with your webcam, syncing the recordings with what you watched! I think you are not interested show this video to your friends, relatives, and your intimate one...

Transfer $800 to our Bitcoin wallet: 1GdegtNpYcvoCPsMmyixxxxxxxxxx. If you don't know about Bitcoin please input in Google "buy BTC". It's really easy.

I guarantee that after that, we'll erase all your "data".

A timer will start once you read this message. You have 48 hours to pay the above-mentioned amount.

Your data will be erased once the money are transferred. If they are not, all your messages and videos recorded will be automatically sent to all your contacts found on your devices at the moment of infection.

You should always think about your security.
We hope this case will teach you to keep secrets.
Take care of yourself».

И обещанные перевод с комментариями. Кстати, оригинал написан на хорошем разговорном английском, мои комплименты системе школьного образования Казахстана. Если, конечно, текст письма не был взят готовым из сети, что более вероятно.

«Привет! Я член международной группы хакеров.

Как вы уже наверняка догадались, ваш email-аккаунт xxx@xxx взломан, так как я смог прислать вам письмо с вашего же почтового адреса.

Теперь у меня есть доступ ко всем вашим аккаунтам! Например, пароль к email-аккаунту xxx@xxx — xxx.

Насколько я понимаю, чтобы подставить любой адрес в поле «отправитель», звания магистра хакерских наук не требуется. Мой почтовый адрес за последние четверть века много где «засветился», равно как и пароль неоднократно использовался для не очень важных регистраций и т.п. Не для email-аккаунта, но шантажист априори предполагает, что «клиент» использует один и тот же пароль для всех сервисов. Обычное дело, к сожалению. То есть, реально у отправителя есть связка почтовый адрес email-аккаунта и пароль, которым владелец данного аккаунта регулярно пользовался. Возможно, имя тоже есть, просто поленились имена также добавлять автоподстановкой в свои «письма счастья».

По факту, с 99% вероятности это всё. И на основании таких более чем скромных данных дальше в письме разыгрывается целая «сказка венского леса». Или казахских степей, не суть важно.

В период с 30 июля по 9 октября 2018 года вы были заражены созданным нами вирусом через «сайты для взрослых», которые вы посещали. К настоящему времени у нас есть доступ к вашим сообщениям, вашим аккаунтам в соцсетях и мессенджерам. Более того, у нас есть дампы всех ваших данных.

Мы знаем все ваши маленькие и большие секреты, да-да. Мы видели и записали всё, что вы делали на порносайтах. У вас, кстати, такие извращённые вкусы...

Главное, мы записывали с вашей web-камеры то, чем вы занимались, и синхронизировали это с теми видео, которые вы в эти моменты просматривали. Думаю, вы не заинтересованы в демонстрации этих записей вашим друзьям, родственникам и любимым.

Дата окончания «периода заражения вирусом» наверняка авто-подставлена датой отправки письма. Печаль в том, что на порносайты я не хожу и, тем более, на них не регистрируюсь. От слова «вообще». Камера заблокирована физически, ещё раз «мимо кассы». В соцсетях не зарегистрирован (исключение — Твиттер). Мессенджерами не пользуюсь вообще и ни в одном не зарегистрирован, здесь уже без исключений. Не потому, что сильно переживаю за свою безопасность, мне это просто не нужно. Бывает и такое, да.

Переведите $800 Биткоинами на наш кошелек 1GdegtNpYcvoCPsMmyixxxxxxxxxx. Если не умеете, то наберите в поиске Google "купить BTC". Это просто.

Я гарантирую, что после этого мы сотрём все ваши «данные». Таймер запущен с того момента, как вы прочитали это письмо. У вас есть 48 часов на то, чтобы заплатить вышеуказанную сумму.

За что платить-то? За собственный email-адрес? Дороговато, тем более что я его и так помню наизусть. Со всем остальным «компроматом» автор письма феноменально угадал. В том смысле, что ничего из перечисленных «данных» не существует в принципе. Однако — каюсь! – всё равно дёрнулся проверить, не оказался ли email-аккаунт с тем же паролем. Конечно, не оказался, но ведь я дёрнулся же!

Ваши данные будут стёрты после перевода денег. Если нет, то все ваши сообщения и записанные видео будут автоматически разосланы по всем вашим контактам, найденным на всех ваших устройствах в момент заражения.

Ух ты. Они ещё и до всех моих адресбуков на всех устройствах добрались, молодцы какие! Надеюсь, вы всё поняли. Кстати, подмена адреса отправителя убивает сразу двух зайцев: не только как бы «доказывает» взлом почтового аккаунта, но и в глазах большинства получателей делает жалобы бессмысленными, на кого жаловаться-то? На себя самого?

Гримасы «индивидуального подхода»

Теперь о том, для чего этот небольшой обзор был написан. Во-первых, несмотря на явный «прицел» на англоязычную аудиторию, с большой долей вероятности доберутся и до нас. Мне подобных «писем счастья» до сих пор не приходило, но это вопрос времени. Автор послания изо всех сил тужится изобразить тот самый «индивидуальный подход». Дескать, дорогой клиент, тобой уже давно и пристально занимаются, чуть ли не в туалет с тобой ходят. А уж в спальне — само собой, всё записывается и протоколируется, изволь теперь заплатить. В реальности — чистой воды блеф на минимальном количестве данных, всё остальное обрабатывается, генерируется и рассылается автоматически. Иначе смысла бы не было этим заниматься. Магия больших чисел и быстрого охвата максимально возможной аудитории, кто-нибудь да заплатит с перепугу. Получить такое письмо неприятно и нервно, однако включайте мозг и трезво отделяйте мух от котлет: какая информация реально есть у шантажиста, а чем он просто нагнетает психологическую напряжённость. Не сомневайтесь, при действительно индивидуальном подходе и наличии чего-то материального он бы не преминул похвастаться конкретикой. Хотя бы для вящей убедительности.

Шантаж на персональных данных

В этом смысле плохую службу сослужили многочисленные публикации СМИ о всесильных и вездесущих хакерах, которые всё и всех подряд ломают, легко добывая персональные данные и конфиденциальную информацию. И многочисленные «репортажи» о компрометирующих фото и видео всяких знаменитостей и жаждущих таковыми стать. В чём-то СМИ правы, и лишняя осторожность нам тоже не повредит. Плохо то, что у людей формируется стереотип уязвимости и полной беззащитности перед всемогущими хакерами. Чем хакеры успешно и с удовольствием пользуются.

Сами «взломы» есть, и массовые утечки данных присутствуют, это бесспорно. Про банковские махинации ещё пишут хоть с какими-то подробностями, «компромат» на знаменитостей жёлтая пресса смакует, на то она и «жёлтая». Про то, как употребляются и монетизируются миллионы единиц украденной небанковской информации, никто особо не пишет, а явление массовое, и всё это поставлено на конвейер, см. выше про моё «письмо счастья». А это наверняка лишь один из многих вариантов шантажа «вслепую», типа бомбардировки по площадям. И Big Data, будь она неладна, доступна не только спецслужбам.

Перспективы

И ещё. Про «Дикий Запад». Мне, честно говоря, уже по-человечески жаль тамошних мужиков, которых на волне борьбы за нравственность или фиг их знает за что они там вдруг метнулись бороться, спустя десятилетия судят и подвергают остракизму, «жертвы» даже нередко просто врут ради денег и/или самопиара. Сейчас, спустя десятки лет после «событий», уже и не поймёшь, кто был реальный преступник, а кто с пары рюмок кого-то ущипнул за попу. Харрасмент он ведь такой харрасмент, понятие мутно-расплывчатое. Поди угадай, какое действо объявят чуть ли не изнасилованием четверть века спустя. И доказывай потом в суде, что девушку за соседним столиком ты когда-то «раздел взглядом» не догола, а только до нижнего белья, строго в рамках действующей с 2032 года поправки к закону «О допустимых углах наклона и глубины воображаемого проникновения взгляда». Вообще-то, стратегия далеко не новая, и нынешний хайп можно было предвидеть. Вспомните хоть Монику Левински, которая много лет заботливо хранила в морозилке блузку с пятнами, выжидая самого выгодного момента для скандала. Но там «преступник» хоть удовольствие получил (надеюсь), а сейчас сколько пострадавших почти на ровном месте?

В нынешней лихорадке обвинений во всяких действительных и воображаемых «харрасментах» состояние потенциальных обвиняемых понять нетрудно. И в этой мутной водичке у всяких шантажистов, наверное, рыбка неплохо ловится. Даже на почти голый крючок без наживки. Небось, хватает платящих без особых раздумий, просто с перепугу. Никакая статистика нам об этом не расскажет и эти денежные потоки не учтёт, пострадавшие вряд ли склонны делиться сведениями о своих потерях. Мода на хайпо-харрасменты уже и до России докатилась, хоть мы пока в полной мере менталитетом не доросли до «правильного» восприятия всего вот этого. Суды тоже вряд ли готовы вникать в степень оскорбительности взгляда, вот стулом по башке — всё понятно. И то ведь спорят, считать это хулиганством или побоями. Впрочем, нынче социальная среда в интернете зачастую действует куда разрушительнее судов, недаром шантажисты угрожают широкой оглаской, а не обращением к правоохранителям. Будьте мудры и не бросайтесь хотя бы на голые крючки без наживки.

Ссылки по теме

Сергей Потресов (sergey.potresov@mobile-review.com)
Twitter

Опубликовано — 18 октября 2018 г.

Поделиться

Мы в социальных сетях:




Есть, что добавить?! Пишите... eldar@mobile-review.com

 

Новости:

19.07.2019 Новый смартфон Xperia от Sony получит дисплей разрешением 5К

Hit

19.07.2019 Видео на канале: ОБЗОР | Уникальный криптосмартфон Sirin Labs FINNEY от Кенеса Ракишева

Hit

19.07.2019 Видео на канале: ОБЗОР | Электронная книга ONYX BOOX Nova Pro с технологией Wacom

19.07.2019 Новый игровой смартфон Black Shark 2 Pro от Xiaomi представят 30 июля

19.07.2019 Технические характеристики ASUS ROG Phone 2

19.07.2019 SMARTERRA FitMaster AURA – недорогие, но многофункциональные часы с возможностью измерять артериальное давление

19.07.2019 Google оштрафована Роскомнадзором на 700 тысяч рублей

Hit

18.07.2019 Видео на канале: БЛИЦ | TrueWireless наушники JBL Under Armour

18.07.2019 Теперь можно взглянуть со всех сторон на новый топовый планшет от Samsung

Hit

18.07.2019 Видео на канале: БЛИЦ | LG XBOOM Ai ThinQ с Яндекс "Алисой"

18.07.2019 Стало известно, как будет выглядеть новый игровой смартфон ASUS ROG Phone 2

18.07.2019 В ответ на запрет использования смартфонов в российских школах было предложено использовать специальные «шкулофоны»

18.07.2019 Билайн: Россияне стали больше тратить на смартфоны

18.07.2019 Samsung начинает массовое производство первых в отрасли 12-гигабитных LPDDR5 модулей памяти

17.07.2019 Android One смартфон Xiaomi Mi A3 представлен официально

17.07.2019 Panasonic KX-TU466 – защищённая раскладушка с GPS навигацией для пожилых людей

17.07.2019 Sony представила 61 МП полнокадровую беззеркальную фотокамеру – Alpha 7R IV

17.07.2019 Apple показала новые эмодзи, которые появятся в iPhone этой осенью

17.07.2019 OPPO выпустила лимитированную линейку смартфонов для фанатов ФК «Барселона»

16.07.2019 Торговые санкции Японии могут сорвать производство Samsung Galaxy Note 10

16.07.2019 MediaTek готовит чипсет для игровых смартфонов

16.07.2019 Внешний вид смартфона LG Harmony 3

16.07.2019 Появились официальные пресс-рендеры новых смартфонов Honor – 9X и 9X Pro

16.07.2019 HTC возродит линейку смартфонов HTC Wildfire

16.07.2019 Qualcomm представила обновленный процессор Snapdragon 855 Plus

Подписка
 
© Mobile-review.com, 2002-2019. All rights reserved.