Cofense, uma empresa membro do conselho da National Cyber Security Alliance (NCSA), anunciou que publicou um banco de dados de mais de 200 milhões de contas de e-mail comprometidas, alvo de golpes de sextorsão.

Os golpes envolvem e-mails enviados por meio de uma grande botnet “for rent” que Cofense descobriu em junho. A empresa está compartilhando o banco de dados para ajudar pessoas e empregadores a evitarem se tornarem vítimas. Para saber mais sobre sextorsão e a descoberta da botnet, a NCSA conversou com Tonia Dudley, Diretora, Consultora de Soluções de Segurança na Cofense e membro do conselho da NCSA.

O que é sextorsão e como ela funciona?

Sextorsão abrange uma ampla gama de crimes cibernéticos que envolvem formas de coerção não físicas. Normalmente, sextorsão significa a ameaça de divulgar imagens ou informações sexuais para extorquir criptomoeda. Geralmente, a vítima recebe um e-mail de um cibercriminoso que ameaça enviar supostas informações comprometedoras – como fotos ou vídeos sexuais – para amigos e familiares, a menos que a vítima concorde em pagar um resgate em bitcoin. O que torna o e-mail especialmente crível é que, para provar sua legitimidade, os “sextorsionistas” começam mostrando uma senha que você já usou ou ainda usa.

O que é uma botnet e como o golpe é distribuído?

O termo “bot” é uma abreviação para o termo “robot,” conectado ao “net,” como em “network.” Uma botnet é uma rede de computadores infectados com software que esperará por instruções de quem a controla. Isso permite que um atacante controle um grande número de computadores. A boa notícia é que sabemos que esta botnet NÃO ESTÁ infectando computadores para adquirir novos conjuntos de dados. Está apenas reciclando endereços de e-mail adquiridos por vários meios ao longo do tempo.

Por que foi importante publicar a lista de contas comprometidas?

Queríamos ajudar as vítimas a evitar a ansiedade de tentar decidir se devem pagar o resgate em bitcoin solicitado. Somente na primeira metade de 2019, a Cofense Labs, nosso braço de P&D recém-formalizado, analisou mais de 7 milhões de e-mails relacionados à sextorsão. Isso é um grande número de pessoas potencialmente impactadas pela sextorsão. A botnet que estamos monitorando é uma botnet “for rent” usada exclusivamente para sextorsão. Se a botnet ingerir novos endereços de e-mail, podemos vê-los e adicioná-los ao banco de dados. Também estamos monitorando a atividade da botnet para ver qual malware ela está usando. Estamos observando novas peças de malware que ela possa estar utilizando diariamente.

O que devem fazer indivíduos e empresas se suas contas de e-mail estiverem entre as 200 milhões comprometidas?

Como indivíduo, se o seu endereço de e-mail aparecer na lista mas você não tiver recebido um e-mail de sextorsão, fique atento! O sextorsionista pode muito bem entrar em contato com você. Não se alarme com a ameaça no e-mail. Alarme e pânico são precisamente as reações que o atacante espera com ameaças de humilhação pública se você não responder. E-mails de sextorsão normalmente não têm elementos comuns de phishing, como um link ou anexo malicioso. No entanto, se você vir qualquer um dos dois, não clique. Apenas delete a mensagem. Para empresas, recomendamos que tomem certas ações, listadas ou não seus domínios. Estamos sempre adicionando mais endereços de e-mail à medida que a ameaça evolui.

• Monitore seus domínios através do site cofense.com/sextortion/. Se o banco de dados atualmente não exibir resultados, você deve continuar verificando periodicamente. Esses ataques estão em andamento e são dinâmicos, portanto os resultados estão sujeitos a mudanças.

• Crie filtros de gateway para bloquear termos-chave usados em e-mails de sextorsão. Mantenha-se atualizado sobre as mensagens sendo usadas, pois os atacantes implementarão regularmente novas mensagens. É a típica caça de gato e rato.

• Escreva regras YARA para escanear seus servidores de e-mail, procurando por Indicadores de Comprometimento (IOCs) relacionados a essas campanhas.

• Lembre-se que muitos e-mails de sextorsão, como campanhas de Compromisso de E-mail Comercial (BEC), não incluem um link ou anexo – estão apenas buscando uma resposta que possam explorar.

O que os usuários devem fazer se receberem um e-mail de sextorsão?

Independente de você estar ou não na lista, sempre recomendamos as mesmas ações. Os atores que ameaçam usarão os dados disponíveis para eles para direcionar usuários com e-mails de phishing para este tipo de campanha ou para conseguir acesso a contas.

Como os usuários podem evitar ser expostos à sextorsão?

Infelizmente, não há nada que os indivíduos possam fazer para evitar serem expostos, por isso sempre recomendamos o uso de nomes de usuário e senhas únicas para cada um de seus sites ou aplicativos que você baixa no seu dispositivo móvel. Esses tipos de campanhas estão se aproveitando de listas já expostas em violações de dados anteriores. Quando você receber um e-mail informando que sua conta foi incluída em uma violação, tome medidas imediatamente para mudar sua senha e implemente a autenticação de múltiplos fatores quando estiver disponível.

Biografia do Autor

Tonia Dudley é Diretora, Consultora de Soluções de Segurança na Cofense e membro do conselho da NCSA. Nesta função, ela se concentra na defesa contra phishing, demonstrando como as soluções Cofense ajudam organizações em todo o mundo a minimizar o impacto dos ataques enquanto reduzem os custos de operações.