Har du fått denne e-posten?

Artikkel fra Nettvett.no

hacking

Det er kjent at mange har fått en e-post som lyder sånn:

Hallo!
Jeg er medlem av en internasjonal hackergruppe.

Som du sikkert kunne ha gjettet, ble kontoen din (din e-post) hacket, fordi Jeg sendte en melding til deg fra kontoen din.
Innen en periode fra 15. juli 2018 til 23. september 2018 ble du smittet av viruset vi har opprettet, gjennom et voksent nettsted du har besøkt.
Så langt har vi tilgang til meldingene dine, sosiale medier og messengers.
Videre har vi fulle dumper av disse dataene.

Vi er klar over dine små og store hemmeligheter ... ja, du har dem. Vi så og registrerte dine rangel på porno nettsteder. Din smak er så rar, du vet ..

Men det viktigste er at vi noen ganger registrerte deg med webkameraet ditt, synkroniserer opptakene med det du så på!
Jeg tror du ikke er interessert i å vise denne videoen til vennene dine, slektninger og din intime ...
Overfør $700 til vår Bitcoin lommebok: 1CHgsKymRgjVHtmVo1EujGpCs3umkbiLwR
Jeg garanterer at etter det vil vi slette alle dine "data" 😀

Falske trusler og utpressingskrav

Fra 2018 og utover har e-poster med usanne påstander om at du er hacket, og har blitt filmet mens du har sett på pornografi, blitt veldig vanlig. Men hvordan kan man vite om slike trusler er ekte eller falske? Og hvordan skal det håndteres?

Hva bør du gjøre

Dersom du har fått en e-post du har identifisert som falsk utpressing, kan du trygt ignorere den. Du må gjerne slette den, men det er ingen risiko forbundet ved å la den bli liggende i innboksen. Dersom du ønsker å slette den kan det være lurt å ta skjermbilde, i tilfelle du trenger å vise den til noen senere, for eksempel for å få råd, eller for å advare og informere andre.

Dersom du har fått en e-post som har et av dine passord i seg, betyr det at dette passordet er offentlig kjent som brukt av deg. Det er ikke lenger trygt å bruke, og må endres overalt hvor det er i bruk, dersom det fortsatt er i bruk.

På haveibeenpwned.com kan du sjekke om noen av de andre passordene dine kan være på avveier også.

Kjennetegn på at truslene er falske

Kjent oppbygging

Alle eksemplene som har blitt observert til nå, har fulgt den samme, generelle oppbyggingen. Se “Eksempler på e-poster med falske utpressingskrav” nederst i denne veiledningen for eksempler. Dersom e-posten du har fått har nøyaktig denne oppbyggingen, eller kanskje til og med er helt likt et av eksemplene, så er nok truslene falske.

Masseutsendt

Fordi man som mottaker av en slik e-post ikke kan se om den er sendt til andre eller ikke, virker det kanskje vanskelig å se om e-posten er masseutsendt eller ikke. Men det er faktisk noen ting man kan se etter. Som oftest er disse e-postene ekstremt generelle, og inneholder ingen konkrete detaljer om mottakeren, slik man jo skulle tro det ville være dersom avsenderen faktisk har overvåket og spionert på deg.

Spør deg selv. Kunne denne e-posten ha blitt sendt til andre uten store endringer i teksten? Eventuelt uten endringer i det hele tatt?

Som du kan se under “Forskjellige varianter” finnes det noen tilfeller hvor enkelte minimale personopplysninger følger med. Disse utgjør i så fall en veldig liten del av e-posten, og vil alltid være hentet fra nettsider som har hatt lekkasjer, heller enn å stamme fra hacking av din datamaskin. Les mer om dette under varianter “Med passord“.

Ber om betaling i BitCoin

Selv om det kan tenkes at e-poster som ikke faller inn under kategorien falske utpressingskrav også ber om betaling av BitCoin, så er dette et fellestrekk som har blitt sett i alle tilfeller så langt. Det kan tenkes at andre kryptovalutaer også vil bli brukt i fremtiden.

Påstander du vet med sikkerhet at ikke stemmer

Dersom teksten inkluderer en eller flere påstander du vet med sikkerhet at ikke stemmer, er det et sikkert tegn på at truslene er falske. For eksempel, dersom det står spesifikt at datamaskinen din er blitt hacket, og at du har blitt filmet gjennom webkameraet på denne, men du eier ingen datamaskin med webkamera.

Dårlig oversatt norsk

Falske utpressingskrav har blitt observert i Norge på både engelsk og norsk. I alle tilfellene hvor det har vært brukt norsk språk, har det vært grammatiske feil og tydelige tegn på at teksten har blitt automatisk oversatt fra et annet språk. Dette er et godt kjennetegn på svindel.

Det er verdt å merke seg at språket kan forbedre seg i fremtidige versjoner. E-postene kan også komme på andre språk enn norsk og engelsk, nordmenn har for eksempel fått tilsendt versjoner som er på svensk.

Forskjellige varianter

Den vanlige typen

I den vanlige typen hevder avsenderen å ha hacket maskinen din, og tatt opptak av deg med webkameraet mens du ser på porno. Det trues med å distribuere dette opptaket til dine venner og kolleger med mindre du betaler en løsepengesum i BitCoin innen en gitt tidsfrist, gjerne 48 eller 72 timer.

I denne varianten er e-posten helt blottet for noen konkrete detaljer om deg eller ditt tilfelle.

Med passord

En mye omtalt variant av disse e-postene, er en hvor det er inkludert et passord som du bruker, eller har brukt før. Avsenderen hevder da gjerne at dette er “bevis” på at du har blitt hacket. På grunn av dette er det mange som tror at e-posten ikke er masseutsendt, og at det som står i den er sant, men dette er ikke tilfelle.

Også disse e-postene er bare løgn og svindel.

I slike tilfeller stammer passordet, og for så vidt også e-postadressen din, fra en lekkasje hos et nettsted eller en tjeneste. Det betyr altså ikke at du har blitt hacket, det er imidlertid en nettside eller tjeneste som du har brukt som har blitt hacket, og dette har godt mulig skjedd for veldig lenge siden. Det vil i så fall også si at det ikke bare er deg, men alle brukerne av dette nettstedet på den tiden som har fått brukernavn, e-postadresse, passord, og eventuelt andre detaljer på avveier.

På haveibeenpwned.com kan du sjekke om du finnes i noen slike lekkasjer.

Kriminelle skaffer seg så tilgang til lister over brukere fra disse lekkasjene. Da er det en enkel sak for dem å automatisere hele prosessen: Alle elementene i listen gjennomgås, og for hver og en av dem, sende en e-post til den oppgitte e-postadressen, hvor passordet settes inn på et spesifikt punkt i e-posten. Ellers er e-posten lik for alle.

Med telefonnummer

En variant har blitt observert som ligner på varianten med passord, bare at det er et telefonnummer som er lagt ved istedenfor. Telefonnummeret er da sannsynligvis funnet på samme måte som passordet, da enkelte nettsider og tjenester også lagrer telefonnummeret til brukerne sine.

Tilsynelatende sendt fra ens egen e-postadresse

En variant ligner på den vanlige typen, men ser ut til å være sendt fra ens egen e-postadresse. I e-posten hevdes det også at dette er “bevis” på at du er hacket.

Det er ikke tilfelle, å forfalske avsenderadressen i en e-post er trivielt for de med litt teknisk kunnskap, og er derfor ikke en indikasjon på hacking.

Les mer om forfalsket avsenderadresse i e-post i veiledningen om falske e-poster.

Med falske vedlegg eller referanser til fiktive filer

Enkelte e-poster har blitt observert med vedlegg, eller elementer som skal minne om vedlegg, eller referanser til filer. Disse filene blir i e-posten omtalt som “bevis” på truslene, det er gjerne snakk om bildefiler eller videofiler som angivelig inneholder det nevnte sensitive innholdet.

Dette kommer i flere varianter. I en variant vi har hørt om er det lagt ved en bildefil uten innhold, som dermed ikke lar seg åpne. En slik bildefil er ikke bevis på noe som helst. I andre tilfeller er det skrevet fiktive filnavn inn i e-postens tekst. Dette er, som resten av e-posten, bare vilkårlig tekst, og dermed ikke bevis på noe.

Med purring

Denne varianten kommer i to ledd. Det første er en e-post av en av de andre nevnte variantene, men den blir fulgt opp av en e-post til, som er utformet som en “purring” på den første. I de observerte tilfellene er ikke purringen sendt fra samme e-postadresse, men er “signert” med samme navn/alias.

Vi har ikke sett noe som tyder på at purringen er reell. Den later til å være sendt ut automatisk til alle som mottar den første e-posten, uten noen form for manuell oppfølging.

Bombetrussel

Dette er en svært sjelden variant. I de eksisterende tilfellene har truslene hovedsakelig blitt sendt til virksomheter, der det hevdes at avsenderen har plassert en bombe i bygget, og at denne vil detoneres etter en gitt tid dersom det ikke betales løsepenger i form av BitCoin.

Med unntak av at det trues med noe helt annet, er e-postene som har blitt sett med denne varianten bygd opp på samme måte som de vanlige variantene, og undersøkelser gjort av sikkerhetseksperter indikerer at de også er sendt av samme bakmenn. E-posten inneholder ingen konkret informasjon om mottakeren.

Les mer i artikkel om denne varianten på NorSIS.no.

Kidnapping

Denne varianten er også sjelden, den har blitt observert i Norge. I denne varianten hevdes det at avsenderen spesialiserer seg på kidnapping, og vil kidnappe mottakeren og kreve løsepenger fra familien, om ikke mottakeren betaler en løsepengesum i BitCoin innen en tidsfrist.

E-posten følger samme oppbygning som de vanlige variantene, og inneholder heller ingen konkret informasjon om mottakeren.

Les mer i artikkel om denne varianten på NorSIS.no.