Correo electrónico pide dinero en Bitcoins a cambio de no bloquear el ordenador
Ayer recibí un mensaje de ransomware (software de secuestros) que piden dinero amenazando que si no lo pagas te bloquearán el dispositivo (el que sea, PC, portátil u smarphone). Ya había recibido otros de este tipo pero este me sorprendió al incluir una cuenta y una contraseña (que iba como el asunto del correo - ver más abajo imágenes) que suelo utilizar en sitios web que piden credenciales para descargar algún producto (ya sean ebooks, imágenes u otros tipos).
Antes de entrar en pánico he de aclarar que este tipo de mensajes de correo son oportunistas y juegan con nuestros miedos y, aunque dicen tener nuestra contraseña del dispositivo, no es verdad. Por ejemplo los PC y portátiles con el sistema operativo Windows utilizan como credencial una cuenta de correo de Hotmail, del tipo
Si recibís un correo de este tipo y, como digo, antes de entrar en pánico, comprobar que la cuenta a la que os lo envía el malhechor no tiene nada que ver con las credenciales de acceso a vuestro ordenador (si es Windows debe de ser una cuenta tipo @hotmail.com). Si es así podéis enviarlo directamente a la papelera.
Vamos a analizar con detalle el mensaje, este es el texto tal cual lo recibí:
Hello!
I have very bad news for you.
03/09/2018 - on this day I hacked your OS and got full access to your account
So, you can change the password, yes.. But my malware intercepts it every time.
How I made it:
In the software of the router, through which you went online, was a vulnerability.
I just hacked this router and placed my malicious code on it.
When you went online, my trojan was installed on the OS of your device.
After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).
A month ago, I wanted to lock your device and ask for a not big amount of btc to unlock.
But I looked at the sites that you regularly visit, and I was shocked by what I saw!!!
I'm talk you about sites for adults.
I want to say - you are a BIG pervert. Your fantasy is shifted far away from the normal course!
And I got an idea....
I made a screenshot of the adult sites where you have fun (do you understand what it is about, huh?).
After that, I made a screenshot of your joys (using the camera of your device) and glued them together.
Turned out amazing! You are so spectacular!
I'm know that you would not like to show these screenshots to your friends, relatives or colleagues.
I think $704 is a very, very small amount for my silence.
Besides, I have been spying on you for so long, having spent a lot of time!
Pay ONLY in Bitcoins!
My BTC wallet: 1E5XMWQtyYnCY4LkLnjMtqBMQNnC1KS3m3
You do not know how to use bitcoins?
Enter a query in any search engine: "how to replenish btc wallet".
It's extremely easy
For this payment I give you two days (48 hours).
As soon as this letter is opened, the timer will work.
After payment, my virus and dirty screenshots with your enjoys will be self-destruct automatically.
If I do not receive from you the specified amount, then your device will be locked, and all your contacts will receive a screenshots with your "enjoys".
I hope you understand your situation.
- Do not try to find and destroy my virus! (All your data, files and screenshots is already uploaded to a remote server)
- Do not try to contact me (you yourself will see that this is impossible, I sent you an email from your account)
- Various security services will not help you; formatting a disk or destroying a device will not help, since your data is already on a remote server.
P.S. You are not my single victim. so, I guarantee you that I will not disturb you again after payment!
This is the word of honor hacker
I also ask you to regularly update your antiviruses in the future. This way you will no longer fall into a similar situation.
Do not hold evil! I just do my job.
Good luck.
En principio el sinvergüenza explica que utilizó nuestro router para acceder a nuestro dispositivo, meter un troyano, copiar todo el disco duro y subirlo a servidor remoto en la nube: "Tengo toda su libreta de direcciones, historial de sitios de visualización, todos los archivos, números de teléfono y direcciones de todos sus contactos", se lee al traducir.
Luego continúa diciendo que tiene capturas de pantalla de los sitios porno que visito (no visito ninguno) e incluso una foto tomada con la cámara del dispositivo mientras me divierto (cuando la cámara la tengo tapada desde hace años con un plástico que me regaló una empresa de informática), para acabar amenazando con mostrar esas imágenes a amigos y familiares.
A continuación da instrucciones para que en un plazo de 48 horas ingrese 704 dólares a un monedero de Bitcoins: "Mi billetera BTC: 1E5XMWQtyYnCY4LkLnjMtqBMQnnC1KS3m3"
Haciendo una búsqueda en Google, esa billetera o monedero ya está reportada como fraudulenta con 99 informes hasta el momento, cuando accedí ayer había 68 osea que el mensaje spam sigue difundiéndose masivamene. Tiene ingresados 0.39685529 Bitcoins, que son 1.331,38 euros) cuando lo miré ayer tenía 0.21599729 BTC (726,10 euros), osea que dada la cantidad que pide el muy cabr... por lo menos han picado dos personas.
Uno de los afectados dice:
"Obviamente, esta es la mayor tontería, el pago con Bitcoin es anónimo, por lo que el estafador no puede saber de quién proviene el dinero (no hay remitente). La historia como se describe en el correo es por lo tanto incorrecta y no se basa en verdades. He estado recibiendo estos correos electrónicos durante meses desde que tengo un PW (que no he usado en una década y NUNCA con la dirección de correo electrónico a la que dicen que pertenece... ha pasado tanto tiempo que ni siquiera lo recuerdo. Lo usé para :-) aparentemente aparecido en la darkweb".
Análisis de la procedencia del mensaje de correo
Para intentar averiguar desde que cuenta de correo nos manda el mensaje (que en principio dice que nos lo envía desde la nuestra), vamos a ver el Encabezado del mensaje a que podéis acceder si utilizaís Outlook como se muestra en las imágenes:
Received: from bband-dyn172.178-41-213.t-com.sk ([178.41.213.172])
by dam14.wanadoo.es with esmtp (Exim 4.60)
(envelope-from <
id 1gch48-00073T-HY
for
Message-ID: <003801d49e56$054d98f1$13d554be@kpyvbjvj>
From: <
To: "mi_contraseña" <
Subject: *** SPAM ***Hackers know your password mi_contraseña. Password must be changed now.
Date: 28 Dec 2018 02:16:56 +0000
MIME-Version: 1.0
Content-Type: text/plain;
charset="ibm852"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Spam: Spam:***** (0571069)
X-Antivirus: Avast (VPS 181228-0, 28/12/2018), Inbound message
X-Antivirus-Status: Clean
X-Antispam: spam, score=99
X-Antivirus: avast! (VPS 181228-0, 28/12/2018), Inbound message
X-Antivirus-Status: Clean
Por el servidor y la IP vemos que se ha enviado a través de bband-dyn172.178-41-213.t-com.sk ([178.41.213.172]), que es un servicio de correo de una operadora de telefonía de Eslovaquia (sk), llamada Slovak Telekom. Ha sido retransmitido a través de dam14.wanadoo.es, que es una filial de Orange, antes Amena, de ahí el final de mi correo @amena.com. Al final del texto vemos que mi antivirus Avast me lo ha marcado como spam. Si recibís un mensaje como este posiblemente estos datos os los pida la Policía.
Conclusión
La realidad es que se trata de una campaña de ingeniería social. Es decir que no existe ningún vídeo o foto, ningún malware y lo único que hay por parte del atacante es una contraseña que había obtenido de alguna de las múltiples fugas de información que dejan a millones de usuarios a nivel mundial expuestos a diversos tipos de ataques.
Desde mi parte yo no puedo averiguar mucho más, aunque posiblemente los cuerpos de ciberseguridad tanto de la Policía Nacional como de la Guardia Civil ya estarán tras la pista del malhechor/es.
