*

Online

"Sextorsión", la nueva estafa por mail que revela tu contraseña y fotos privadas

Una campaña basada en la "sextorsión" se está propagando por mail y redes sociales. Qué hace estos cibercriminales y cómo podes protegerte. 23 de Julio 2018
"Sextorsión", la nueva estafa por mail que revela tu contraseña y fotos privadas

En los últimos días se conocieron una serie de correos electrónicos ligados a una práctica conocida como "sextorsión", que consta de chantajear a las víctimas usando presuntos asuntos sexuales ligados a su actividad en la web. Los correos que circulan ahora afirman que el destinatario fue hackeado y se grabaron videos de sus actividades frente a la computadora. Lo más sorpresivo es que en el asunto del correo se muestra la contraseña verdadera del usuario. Sin embargo, todo se trata de un engaño pensado para que los usuarios paguen un rescate por un material inexistente.

Así se ve uno de los típicos correos. Fuente: Eset

¿Qué es la "sextorsión"?

Es un tipo de extorsión relativamente reciente que funciona a través de internet y consiste en amenazar a los usuarios con revelar fotos, videos o información sobre su intimidad que se obtuvieron después de un supuesto hackeo. A cambio, pueden pedir contenidos o favores sexuales, o dinero.

En algunos casos, el extorsionador actúa luego de conseguir imágenes sexuales o de desnudos de la víctima. En otros, amenazan con revelar sus consumos pornográficos en la web o aseguran que tienen videos realizados a través del hackeo de sus webcams (aunque no sea cierto).

En los últimos días se conoció un nuevo caso de esta práctica que ya afecto a varias personas.

Los extorsionadores envían un mail con un mensaje que reza "sabemos que esta es tu contraseña".  La frase con esa información real suena verdadera amenazante ya que le brinda credibilidad al resto del mail, que sigue las fórmulas típicas de las "sextorsiones".

"No me conocés y estás pensando por qué recibiste este correo, ¿cierto?

Bueno, lo que hice fue poner un malware en un sitio porno y, adivina qué, visitaste ese sitio para divertirte (sabés a qué me refiero). Cuando estabas viendo el video, tu navegador actúa como un RDP (Remote Desktop) y una llave de logueo me dio acceso a tu pantalla y a tu webcam. Justo después de eso, mi software juntó todos de tu cuenta de Facebook Messenger y de tu cuenta de correo.

¿Y qué fue lo que hice? Grabé un video en pantalla partida. En una parte registré el video que estabas viendo (qué buen gusto tenés jajaja), y en la otra parte registré tu webcam (Sip! Sos vos haciendo chanchadas!).

¿Qué tenés que hacer? Bueno, creo que 1.400 dólares es un precio justo para nuestro secretito. Vas a hacer el pago en Bitcoins a la dirección de acá abajo (si no sabés cómo, buscá en Google 'cómo comprar Bitcoins').

Importante: Tenés 24 horas para hacer el pago. (Tengo un pixel único en este email, y ahora mismo sé que leíste este correo). Si no recibo el pago, voy a mandarle tu video a todos tus contactos, incluyendo familiares, compañeros de trabajo y demás. Sin embargo, si me pagás, voy a borrar el video inmediatamente. Si querés evidencia, contestá con "Sí!" y le mandaré las grabaciones a tus cinco amigos. Esta oferta no es negociable, así que no pierdas mi tiempo y el tuyo contestándome a este email".

Si bien puede parecer shockeante para el usuario ver su correo y contraseña reales junto a una amenaza de liberación de material comprometedor, la verdad es que no existe tal material. Se trata de una campaña de engaños masiva.

¿Cómo funciona?

"Al analizar la dirección de correo de la víctima utilizado en la campaña verifiqué que se filtró en algunas brechas de información que sufrieran algunos servicios a los cuales estaba suscripta.  Este correo fue utilizado en servicios como Adobe, Bitly, LinkedIn, Myspace y Tumblr, los cuales fueron comprometidos y criminales terminaron robando información valiosa, como usuarios y contraseñas, que luego fueron publicadas en distintos sitios de Internet", explico en una entrada del blog de seguridad informática de Eset, el analista Lucas Paus. "Naturalmente, detrás de cada campaña maliciosa hay un fin económico que motiva el delito. Como vimos en las imágenes del correo, a cambio de borrar la información crítica de la víctima, el atacante solicita un pago mediante el envió de bitcoins a una billetera", explicaba el experto.

No se sabe exactamente cuánta gente cayó en esta trampa, pero según se supo, hasta el momento la billetera Bitcoin habría recibido 16 transacciones por más de 20 mil dólares.

La realidad es que se trata de una campaña de ingeniería social. Es decir que no existía ningún video, ningún malware y lo único que había por parte del atacante era una contraseña que había obtenido de alguna de las múltiples fugas de información que dejan a millones de usuarios a nivel mundial expuestos diversos tipos de ataques.



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar

Notas Relacionadas