Estamos recebendo informações de clientes e parceiros preocupados com um novo tipo de golpe que chega por e-mail, contendo uma senha verdadeira do usuário no título da mensagem e um texto ameaçando expor uma gravação em vídeo da webcam e da tela da vítima, enquanto ela visitava sites pornográficos.
Já é possível acompanhar reportagens de vítimas deste golpe aqui no Brasil, mas apesar do susto em receber sua senha por e-mail, reforçamos aos nossos clientes, parceiros e visitantes que este golpe especificamente é falso, pois o criminoso não invadiu o seu computador e coletou sua senha, gravando ainda sua imagem da câmera e os sites que acessava. Não que este tipo de golpe seja algo visto somente em filmes, pelo contrário, há cada vez mais casos de sextorsão (extorsão praticada mediante a chantagem de revelar imagens ou fatos ligados à intimidade das vítimas, obrigando-as a fazerem algo contra sua vontade, seja por dinheiro, humilhação ou desejo de vingança). Mas fica a pergunta: Como então ele descobriu minha senha?
Nos últimos 5 anos diversas empresas sofreram grandes violações de segurança que comprometeram a confidencialidade de dados pessoais de milhões de pessoas em todo mundo e em alguns destes casos, os bancos de dados que armazenavam as credenciais de acesso com os nomes de usuários e senhas foram vazados. Entre as principais violações que incluem muitos usuários brasileiros, temos alguns exemplos que podem ter permitido a descoberta das senhas:
- Yahoo = 3 bilhões de contas vazadas , contendo usuários e senhas. O incidente ocorreu em 2013 e foi sendo revelado progressivamente entre 2016 e 2017;
- Linkedin = 164 milhões de contas vazadas, contendo usuários e senhas. O incidente ocorreu em 2012 e foi descoberta somente em 2016;
- MySpace: 360 milhões de contas vazadas, contendo usuários e senhas. O incidente ocorreu em 2008 e foi descoberto em 2016, em um site de vendas na darknet;
- Adobe: 153 milhões de contas vazadas, contendo usuários e senhas. O incidente ocorreu em 2013 e revelado no mesmo ano.
Esses são apenas alguns dos vazamentos em escala mundial que expuseram credenciais de usuários na internet e para piorar o cenário, recentemente tivemos incidentes com grandes e-commerces e fintechs aqui no Brasil que podem ter permitido a coleta de mais informações sigilosas de brasileiros.
Esse golpe lembra muito um dos episódios da famosa série Black Mirror, intitulado como o “
Abaixo uma transcrição de uma das mensagens que tem circulado no Brasil e em seguida uma tradução livre do seu conteúdo.
Mensagem original
It appears that, (SUA SENHA), is your password. May very well not know me and you are probably wondering why you’re getting this e-mail, right?
in fact, I setup a malware over the adult vids (porno) website and guess what happens, you visited this site to have fun (you really know what What i’m saying is). When you were watching videos, your internet browser started off operating as a RDP (Remote Desktop) which gave me accessibility of your screen and web cam. and then, my software program obtained your complete contacts from your Messenger, Outlook, Facebook, along with emails.
What did I really do?
I produced a double-screen video recording. First part shows the recording you are watching (you have a good taste haha . . .), and Second part shows the recording of your webcam.
exactly what should you do?
Well, in my opinion, $1000 is a fair price for your little hidden secret. You’ll make the payment by Bitcoin (if you don’t know this, search “how to buy bitcoin” in Google).
BTC Address: 1HTrLyAiopojpy3yJzjVsGRSpbBNzbvszP
(It is case sensitive, so copy and paste it)
Very important:
You have 1 day in order to make the payment. (I’ve a unique pixel within this e mail, and at this moment I know that you have read through this email message). If I don’t get the BitCoins, I will certainly send out your videos to all of your contacts including family, colleagues, and so on. Having said that, if I get the payment, I’ll destroy the recording immidiately. If you want evidence, reply with “Yes!” and I will certainly send out your videos to your 6 contacts. It is a non-negotiable offer, that being said don’t waste my personal time and yours by responding to this message.
Tradução livre
Parece que essa é a sua senha (SUA SENHA). Pode muito bem não me conhecer e você provavelmente está se perguntando, por que estou recebendo este e-mail, certo?
Na verdade, eu configurei um malware em sites de vídeos adultos e acho que você visitou este site para se divertir (você realmente sabe o que eu estou dizendo, certo). Quando você assistiu aos vídeos, o seu navegador de internet começou a funcionar como um RDP (Remote Desktop), que me deu acessibilidade de sua tela e webcam, então meu programa de software obteve os contatos completos do seu Messenger, Outlook, Facebook, juntamente com os e-mails.
O que eu realmente fiz?
Eu produzi uma gravação de vídeo em tela dupla. A primeira parte mostra a gravação que você está assistindo (você tem um bom gosto haha …), e a segunda parte mostra a gravação da sua webcam.
Exatamente o que você deve fazer?
Bem, na minha opinião, $ 1000 é um preço justo para manter escondido o seu pequeno segredo. Você fará o pagamento pelo Bitcoin (se você não sabe, pesquise “como comprar bitcoin” no Google).
Endereço BTC: 1HTrLyAiopojpy3yJzjVsGRSpbBNzbvszP
(É case sensitive, então copie e cole)
Muito importante:
Você tem 1 dia para fazer o pagamento. (Eu tenho um pixel único dentro deste e-mail, e neste momento eu sei que você leu esta mensagem de e-mail). Se eu não receber os BitCoins, certamente enviarei seus vídeos para todos os seus contatos, incluindo familiares, colegas e assim por diante. Tendo dito isso, se eu receber o pagamento, eu destruirei a gravação imediatamente. Se você quiser provas, responda com “Sim!” e eu certamente enviarei seus vídeos para seus 6 contatos. É uma oferta não negociável, o que foi dito, não perca o meu tempo pessoal e o seu respondendo a esta mensagem.
Então não devo me preocupar?
Independentemente do que você tenha acessado na internet e se sua imagem foi gravada ou não, fato é que sua senha, seja ela atual ou antiga, está circulando livremente em texto puro pela internet, o que significa que muitos outros tipos de golpes poderão surgir, além de tentativas de acessos não autorizados. E com isso, você deve ser preocupar, pois se essa senha revelada for utilizada em outros serviços, é muito provável que outros criminosos e muitos curiosos estejam buscando formas de usarem suas credenciais, seja para invadir um serviço de e-mail, uma rede social ou lojas em que você use esse mesmo cadastro.
Por isso é importante manter diferentes senhas para cada serviço e ainda seguir as recomendações tradicionais de complexidade, misturando caracteres maiúsculos, minúsculos, números e caracteres especiais, acima de 8 dígitos. E claro, não dá mais para ficar sem um segundo fator de autenticação, pois mesmo que sua senha seja revelada de alguma forma, ainda limitará o acesso do invasor, pois ele precisará de um código adicional, que hoje é encaminhando normalmente ao celular do usuário. Além disso, mantenha obviamente uma proteção de antivírus e firewall em seus dispositivos e em sua rede e tome muito cuidado ao clicar em links, não somente por spam enviado por e-mail, mas também em grupos de Whatsapp, Telegram e redes sociais em geral.
Um dica para gerenciar essa grande quantidade de senhas que temos atualmente, é fazer uso de um gerenciador de senhas, uma espécie de cofre criptografado localmente que mantém todas as suas credenciais de acesso com segurança. Nós utilizamos o F-Secure Password Protection. Maiores detalhes sobre seu funcionamento, clique AQUI.
Fontes consultadas: Olhar Digital / GaúchaZH / ABCTec
Imagens: Pixabay
Texto: Roberto Henrique – Analista de Seg. da Informação – ABCTec