Меня шантажируют
в спам-письме. Что делать?
Дата публикации: 27.05.2020
Знания

Меня шантажируют в спам-письме. Что делать?

Если вы смотрели 3-ий сезон «Черного зеркала» (или любой другой утопический сериал, где хакеры ломают людские судьбы), эта история найдет мощную поддержку в вашем воображении. Если еще нет, все равно будет познавательно! Давайте обо всем по порядку.

Пользователю пришло реальное письмо деликатного содержания. Вот оно: «Недавно я получил письмо, где меня уведомили о взломе. Подтверждается это тем, что письмо отправлено мне из моего же аккаунта на e-mail! Выглядит так, будто я отправил письмо сам себе, но я этого не делал!

Затем они написали про компромат. Якобы у них есть съемка [с моей веб-камеры], где я смотрю видео на сайте для взрослых… Теперь они требуют $698 в биткоинах и угрожают разослать это видео моим родным и друзьям. Меня реально хакнули?».

Поздравляем, вы миллионный пользователь!

Вот так, легко и играючи, технологии давят на самый большой страх — быть пойманным, осмеянным и выставленным на показ. Эта ситуация называется «цифровым секс-шантажом» или «сексторцией». И хотя такие письма должны автоматически попадать в папку со спамом, миллионы (если не миллиарды) подобных угроз были отправлены за минувшие годы, и их поток не думает уменьшаться.

Единицы пользователей реагируют на цифровой мусор (герой в заглавии статьи — скорее исключение). Но в силу того, что стоимость даже тысячи спам-писем равна нулю, всего пары денежных переводов достаточно, чтобы этот вид прибыли здравствовал и развивался.

Вычислить его легко. Получить подтверждение о злонамеренности письма можно в поисковике Google или «Яндекс». Введите пару строк или предложение из письма, и перед вами откроется лавина форумов, где давно перемыли косточки спамерам, да и точно такое же письмо как у вас разместили.

К слову, система защиты от фишинга существует с 2012 года. Протокол DMARC (Domain-based Message Authentication Reporting and Conformance) решает проблему, но он все еще недостаточно распространен. Подробнее на Википедии.
Если с предложениями наследства от африканского короля, выигрышами в конкурсах и другими манящими сообщениями все легко, ведь они никак вас не компрометируют, с сексторцией дело обстоит сложнее.

Дело в том, что случайный спам неэффективен, поэтому мошенники пытаются персонализировать атаки. Наиболее распространенный способ — подделка имени отправителя. Почтовые сервисы не могут аутентифицировать поля from: и reply to:, поэтому спамеры манипулируют этими данными. Злоумышленники, как в примере, просто дублируют адрес from: из данных to:, и письмо выглядит так, будто отправлено из того же аккаунта.

Проверка пароля

Другие версии спам-писем могут содержать пароль получателя и номер телефона. Они, как правило, появляются у мошенников в результате масштабных взломов, которые случаются довольно часто.

Вспомните Yahoo: в 2017 году компания призналась в утечке данных трех миллиардов аккаунтов. Взлому в свое время подверглись LinkedIn (164 миллиона аккаунтов), Adobe (153 млн), eBay (145 млн), Sony PlayStation Network (77 млн), Uber (57 млн) и другие.

Ваши данные тоже могут быть в списке. Проверить можно на сайте Have I Been Pwned. Если ваш адрес там фигурирует, вы должны изменить пароль сейчас же! Тем более поменяйте его, если один и тот же пароль используется сразу для нескольких сайтов и сервисов. Это плохая идея.

Опять же, у компании Dashlane есть полезный сайт, который расскажет, сколько времени потребуется на взлом пароля. Но помните: даже самые сложные пароли бесполезны, если они уже утекали в сеть. Например, в теории, пароль «correct horse battery staple» можно взламывать 15 октиллионов лет, но его уже дважды сливали в такой форме, и надежным защитником он уже не будет.

Кто виноват и что делать

Лучший способ избежать фишинга и спама в дальнейшем – удалять такие сообщения. Не открывать, не отвечать, не смотреть вложения, не вводить информацию на сторонних сайтах и тем более не переводить деньги!

Имейте в виду и то, что спам может заразить ваш компьютер вирусами. Регулярные обновления антивирусных баз и операционной системы как раз для этого и нужны. Не забывайте: тысячи компьютеров были заражены вирусами Stuxnet и WannaCry спустя месяцы, а иногда и годы после устранения всех уязвимостей. Кто-то просто забыл обновиться…

А что касается секс-шантажа и других типов манипуляции — не переживайте. Шанс того, что кто-то действительно заполучил компромат на вас, ничтожно мал.
Не забудьте поделиться статьей!

Забавное исследование про обезьян и неожиданные выводы об образовании.

Наука — это чертовски мило и немного грустно.

Детерминизм, квантовые компьютеры и первоклассная драматургия

Искусственные уши из моллюсков и живое сердце из водорослей.

Вся правда о проектах основателя Microsoft в области вакцинации и медицины.

История поколений и психология конфликта между старым и молодым.

Расцвет робототехники в формате ток-шоу и превращение сложных машин в милых питомцев.

Мозг бывает очень прожорлив, поэтому запасайтесь едой перед чтением.