Mimecast waarschuwt voor een nieuwe vorm van sextortion via e‑mail. De aanvallers claimen dat ze naaktbeelden hebben bemachtigd door een mobiel apparaat te hacken. Ze dreigen de beelden naar pornosites te uploaden tenzij het slachtoffer betaalt. Er wordt gebruikgemaakt van Nest-camerabeelden om de claim geloofwaardiger te maken.
Begin januari kregen ruim 1600 Amerikaanse organisaties deze sextortion-mail binnen, blijkt uit onderzoek van Mimecast. De aanval is niet specifiek gericht op gebruikers van Nest-camera’s. De Nest-camerabeelden worden alleen gebruikt om in te spelen op de angst dat elk Internet of Things-(IoT)-apparaat te hacken is. De beelden waren wel afkomstig van echte Nest-camera’s en werden geëmbed vanuit de officiële Nest-website, maar deze camera’s zijn niet van de slachtoffers.
Zo werkt de aanval
De aanvalsmethode is ongebruikelijk complex, waarschijnlijk om de opsporing te bemoeilijken. De eerste e‑mail (afbeelding 1) bevat inloggegevens voor een e‑mailbox van de aanvallers. Nadat het doelwit daar heeft ingelogd, moet hij of zij een e‑mail openen waarin een URL staat.
Deze link leidt naar een webpagina met Nest-camerafeeds (afbeelding 2). Onderaan de pagina krijgt het slachtoffer de opdracht om een e‑mail te sturen naar een ander e‑mailadres. Daarop volgt een automatisch antwoord met instructies om in te loggen op weer een andere mailbox. Hier staan de instructies voor de betaling.
De aanvaller vraagt het slachtoffer om inloggegevens te sturen voor een Bitcoin-wallet met het geëiste bedrag. Dit is voor de cybercrimineel ‘veiliger’ dan een wallet in eigen beheer. De tweede optie is het aanschaffen van een vergelijkbaar bedrag aan cadeaubonnen. Bij beide betalingsmethoden zijn de daders zeer lastig te traceren.
Onveilig IoT wakkert angst aan
“Door de vele incidenten met gehackte camera’s, smart-tv’s en andere IoT-apparaten hebben cybercriminelen nu een nieuwe manier gevonden om mensen af te persen”, zegt Dr. Kiri Addison, Head of Data Science Overwatch bij Mimecast. “Het is een bekend gegeven dat veel IoT-apparaten slecht beveiligd zijn. Hierdoor groeit de kans dat slachtoffers dergelijke claims van oplichters geloven. Bewustwordingscampagnes vormen de beste verdediging tegen dit soort aanvallen.”
