我们都知道网络上的、敲诈有很多,但设想一下,如果有一天你收到了一封电子邮件,声称录下了你浏览不可描述的网站的时候的表情,然后给你一个比特币地址向你索要赎金,这种场景下你能分辨出这是局么?
最近很多国外的网友就遇到了这个问题,他们收到了这样的了所邮件。而且选择像大部分人一样破财消灾,以至于一个敲诈团伙用这种手段得了100万美元的比特币。
这到底是怎么回事?又是什么原因让敲诈团伙“频频得手”?我们又该如何防范?让我们一探究竟。
午夜时分,人们结束了一天的劳累,纷纷进入梦乡,就在这时,网络安全公司Area1的首席执行官OrenFalkowitz被客户的紧急求助短信吵醒。
Web3媒体公司Tally Labs完成1200万美元融资,a16z Crypto领投:5月18日消息,Web3媒体公司Tally Labs完成1200万美元种子轮融资,a16z Crypto领投,Sterling VC、Dapper Ventures、Roham Gharegozlou(Dapper Ventures CEO)、Odell Beckham Jr、Allyson Felix等参投。[2022/5/18 3:25:23]
这位客户遇到了一件麻烦事,他的一个朋友是硅谷一家公司的股东,而就在公司上市的节骨眼上,这个朋友收到了一封可能会改变公司命运的勒索电子邮件。
客户给Falkowitz写道:“发件人说他们入侵了我朋友的电脑摄像头,并录下了他看片的视频”,并补充说,他的朋友应该是被人盯上了。
CryptoFed DAO向美国SEC提交S-1文件,用于代币分发:9月18日消息,根据提交给美国SEC的S-1文件,去中心化自治组织CryptoFed DAO寻求向美国证券交易委员会 (SEC) 注册为一家上市公司。American CryptoFed DAO LLC是首批通过S-1注册正式请求美国证券交易委员会认可的DAO之一,CryptoFed正在寻求使用两种代币来建立其二级市场:Ducat代币将用于为交易定价,而Locke代币将用于治理决策。CryptoFed正在向SEC注册Locke和Ducat代币作为实用代币,而不是证券。在SEC宣布CryptoFed的S-1表格生效之前,代币将被分发,但受到限制,无法交易和不可转让。(TheBlock)[2021/9/18 23:35:35]
就在客户焦头烂额之际,Falkowitz给他吃了一记定心丸。凭借多年的经验,Falkowitz告诉客户:“电子邮件是假的,让你朋友把邮件删了然后好好睡觉吧。”
Weiss Crypto:全球前100家银行中有55%已经拥有加密货币和区块链风险敞口:加密货币评级机构韦氏评级(Weiss Crypto)发推表示,据报道,全球前 100 家银行中有 55% 已经拥有加密货币和区块链风险敞口。Coinbase已经加入了世界上许多顶级对冲基金。顶级公司都要深入研究加密货币了,接下来的几个月是你击败他们的最后机会。[2021/8/13 1:52:07]
虽然危机解除,客户在Falkowitz的帮助下躲过一劫。但这并非个例,成千上万的用户都收到了这样的勒索邮件,并被告知要么选择支付比特币赎金来“破财消灾”,要么就眼睁睁地看着自己浏览片的不可描述附在片之后被发送给所有的亲朋好友。
不幸的是,在没有专业人士指点的情况下,大部分用户都被这种场景吓住了,本着宁可信其有不可信其无的态度,只好乖乖交出比特币赎金,从而沦为勒索邮件的牺牲品。
也正是因为受害者往往会采取息事宁人的态度,电子邮件勒索成了性价比最高的犯罪手段,因而得到了犯罪分子的广泛青睐。
根据Area1安全公司的调查,敲诈团伙已经发送了数百万封勒索邮件,并在这个非法勾当中赚得了94.9万美元。平均每次勒索0.073个比特币,按照今天的比特币价格也就是593.56美元。
为了隐藏自己的真实身份,敲诈团伙要求受害者使用比特币支付赎金,不过也正是因为比特币区块链存有所有交易的永久记录,Area1安全公司才能顺藤摸瓜,让勒索局浮出水面。
片勒索邮件是犯罪分子最常使用的三种电子邮件勒索的变体形式之一。另外两种变体形式相信你也并不陌生,一种是WannaCry这种威胁销毁受害者计算机上数据的勒索,而另一种则是直接威胁对受害者采取暴力手段,有点像小学生常说的“你放学别走”。
这种勒索局已经出现很长一段时间了,但为什么到现在受害者还是层出不穷呢?这是因为勒索团伙为了更好地吓住受害者,往往会在勒索邮件中加入受害者的计算机密码来增加可信度。
既然摸清了这些套路,我们又该如何防范呢?
你可以通过密码泄露查询网站HaveIBeenPwned检查自己的账户密码是否安全。该网站运营着一个可供搜索的数据库,你可以在上面检查自己的个人信息是否因各种网络入侵而泄露。
如果有哪个账户的密码泄露了,敲诈团伙就会利用该账户所有的信息“量身定制”勒索局。也就是说,敲诈团伙并没有监控你的每一次键盘输入,你所看的片,也没有拍摄你浏览片时的不可描述。
更确切地说,这些犯罪分子都只是在虚张声势,以便吓住那些毫无防备的受害者让他们乖乖交出加密货币。
一位专家分析了片勒索邮件的发送方地址,挖出了敲诈团伙的一些蛛丝马迹,结果显示这个敲诈团伙十分擅长躲避微软和谷歌等电子邮件服务商设立的垃圾邮件过滤器。
根据Area1安全公司的报告,这个敲诈团伙为了避免片勒索邮件被当成垃圾邮件过滤掉可谓是绞尽脑汁。
就比如说他们会把大文豪莎士比亚以及《傲慢与偏见》作者简·奥斯汀的作品片段作为不可见文本附在邮件中,从而让电子邮件过滤器误以为这是一封正常的邮件,然后成功地出现在受害者的收件箱里,而不是直接被过滤掉。
虽说如此,但敲诈团伙利用的并不仅仅是技术上的漏洞,勒索之所以能成功最大的功臣莫过于人类的天性。Falkowitz说道,人们往往都能意识到网络钓鱼的存在但还是会上钩成为网络钓鱼的牺牲品,很大一部分原因是人类天生对陌生事物充满好奇。
“反的培训往往也不起作用,”Falkowitz说,“人们在面对账户被入侵的情况时,往往会失去理性,被情绪所支配。”
因此我们应该寄希望于技术的改进。他补充道,就目前而言,能够切断勒索邮件传播过程的反钓鱼技术是首要也是最好的解决方案。
除此之外还有一种简单粗暴的解决方案,不过这种解决方案需要花点钱。你可以买一个电脑摄像头保护盖,不用时就直接盖上摄像头,使用时再滑动保护盖打开。
就像下面这种:
目前在亚马逊上6个装的摄像头保护盖只要7.99美元,按照当前的比特币价格仅为0.00098个比特币,这与你所承担的风险相比还是很划算的。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。