“Sextorsió”, la nova estafa per mail que revela les contrasenyes i fotos privades

En els últims dies es van conèixer un seguit de correus electrònics lligats a una pràctica coneguda com “sextorsió”, que consisteix i fer xantatge a les víctimes usant presumptes assumptes sexuals lligats a la seva activitat a la web. Els correus que circulen ara afirmen que el destinatari va ser hackejat i es van gravar vídeos de les seves activitats davant l’ordinador. El més sorprenent és que en l’assumpte del correu es mostra la contrasenya veritable de l’usuari. No obstant això, tot es tracta d’un engany pensat perquè els usuaris paguin un rescat per un material inexistent.

 

Què és la “sextorsió”?

És un tipus d’extorsió relativament recent que funciona a través d’internet i consisteix en amenaçar els usuaris amb revelar fotos, vídeos o informació sobre la seva intimitat que es van obtenir després d’un suposat hackeig. A canvi, poden demanar continguts, favors sexuals, o diners.

En alguns casos, l’extorsionador actua després d’aconseguir imatges sexuals o de nus de la víctima. En d’altres, amenacen de revelar les seves consums pornogràfics al web o asseguren que tenen vídeos realitzats mitjançant el hackeig de les seves càmeres web (encara que no sigui cert).

Els extorsionadors envien un mail amb un missatge que diu “sabem que aquesta és la contrasenya”. La frase amb aquesta informació real sona veritable amenaçant ja que li brinda credibilitat a la resta del mail, que segueix les fórmules típiques d´aquest tipus d´extorsió.

 

Com funciona?

En analitzar l’adreça de correu de la víctima utilitzat en la campanya es verifica que es va filtrar en algunes bretxes d’informació que patien alguns serveis als quals estava subscrita. Aquest correu va ser utilitzat en serveis com Adobe, Bitly, LinkedIn, Myspace i Tumblr, els quals van ser compromesos i criminals van acabar robant informació valuosa, com a usuaris i contrasenyes, que després van ser publicades en diferents llocs d’Internet.

La realitat és que es tracta d’una campanya d’enginyeria social. És a dir que no existia cap vídeo, cap malware i l’únic que hi havia per part de l’atacant era una contrasenya que havia obtingut d’alguna de les múltiples fugues d’informació que deixen a milions d’usuaris a nivell mundial exposats a diversos tipus d’atacs.