Tất cả chúng ta đều biết về những thiếu sót về bảo mật gây khó chịu cho số lượng thiết bị IoT ngày càng tăng và có lẽ bạn sẽ không quá ngạc nhiên khi biết rằng tội phạm mạng đang lợi dụng điều này. Không phải theo cách bạn có thể mong đợi, mặc dù. Thật vậy, thiết bị IoT bị hack mỗi ngày, nhưng bọn tội phạm đã phát triển các cách khác, rẻ hơn và thông minh hơn để khai thác lỗ hổng bảo mật của các thiết bị thông minh. Gần đây, ví dụ, công ty bảo mật email Mimecast nói với chúng tôi rằng kẻ gian hiện đang sử dụng sự thiếu bảo mật của IoT như một công cụ kỹ thuật xã hội trong một chiến dịch sextortion tương đối lớn.
Dựa theo Máy tính hàng tuần, các email bắt đầu bay vào khoảng đầu tháng 1 và chỉ trong vài ngày, Mimecast đã phát hiện không ít hơn 1, 700 bản sao của các tin nhắn lừa đảo, hầu hết trong số đó là nhằm vào công dân Hoa Kỳ. Đây không phải là chiến dịch lớn nhất mà thế giới từng thấy, nhưng số nạn nhân tiềm năng cũng không hẳn là không đáng kể. Khi bạn thấy cuộc tấn công diễn ra như thế nào, bạn sẽ nhận thấy rằng những kẻ gian đã tổ chức nó cũng nghĩ như vậy.
Một cuộc tấn công bất thường
Lừa đảo sextortion trước đó liên quan đến một tin nhắn được gửi qua email, trong đó cố gắng thuyết phục các mục tiêu rằng máy tính của họ đã bị hack và những kẻ tống tiền có cảnh quay đáng xấu hổ của người nhận xem video người lớn. Email sẽ nói rằng nếu nạn nhân không trả tiền, clip sẽ được phát hành cho cả thế giới xem. Năm 2019, bọn tội phạm bắt đầu sử dụng mật khẩu của nạn nhân (mà chúng thu được từ các cơ sở dữ liệu bị rò rỉ công khai) để làm cho kịch bản "Tôi đã hack máy tính của bạn" đáng tin hơn nhiều.
Các chiến dịch gần đây là một chút khác nhau. Trong khi các cuộc tấn công sextortion truyền thống tiết lộ ngay lập tức yêu cầu của kẻ gian, các tin nhắn hiện tại không thực sự nói với các nạn nhân rằng chúng sắp bị tống tiền. Thay vào đó, tin nhắn chỉ đơn giản tuyên bố rằng tội phạm mạng đã hack máy ảnh Google Nest của người nhận và đã thu được một số hình ảnh khỏa thân của chủ sở hữu. Các nạn nhân được cung cấp thông tin đăng nhập mà họ cần sử dụng để đăng nhập vào tài khoản email ProtonMail. Trong đó, họ tìm thấy bằng chứng bị cáo buộc về vụ hack.
Có một liên kết dẫn đến một trang đích và một video thực sự được quay bằng camera Nest, nhưng không phải là một liên kết thuộc về nạn nhân. Những người không nhận thấy rằng họ đang xem một clip ngẫu nhiên được cảnh báo rằng nếu họ không trả phí tống tiền, những bức ảnh và video thỏa hiệp sẽ được công bố trên một trang web khiêu dâm. Computer Weekly cho biết, nhu cầu là 500 hoặc $ 555 và có thể được thanh toán bằng tiền điện tử hoặc thẻ quà tặng.
Chiến thuật bất thường và động cơ tầm thường
Một số bạn có thể hơi bối rối bởi những gì trông giống như một thiết lập phức tạp không cần thiết. Bạn thậm chí có thể nói rằng những người dùng bị buộc phải trải qua có thể khiến họ hiểu được bản chất thực sự của tin nhắn họ đang đọc. Có những lý do hợp lý đằng sau những quyết định mà kẻ gian đã đưa ra, mặc dù.
Bằng cách liên quan đến một tài khoản email khác và một trang đích, kẻ gian đang khiến các công ty bảo mật email khó theo dõi nguồn gốc của cuộc tấn công hơn và thậm chí các danh sách spam được cập nhật thường xuyên có thể không ngăn được một số tin nhắn lừa đảo. Đồng thời, mặc dù sự tham gia của nạn nhân vào toàn bộ hoạt động lớn hơn bình thường, nhưng kẻ gian đang hy vọng rằng với tất cả các cảnh báo về trạng thái bảo mật IoT kém lý tưởng, mọi người sẽ quá hoảng loạn khi nhận thấy một số câu chuyện kể dấu hiệu cho thấy họ đang được liên kết.
Thật vậy, các camera kết nối internet có thể bị hack và các lỗ hổng được tìm thấy trong một số trong số chúng không có gì đáng sợ. Nhưng làm thế nào có khả năng bạn là một nạn nhân chính xác?
Nếu bạn nghĩ về nó, một cuộc tấn công như vậy sẽ liên quan đến một hacker chọn máy ảnh của bạn giữa một biển các thiết bị tương tự và đột nhập vào nó. Sau đó, tên tội phạm sẽ cần đợi bạn đứng trước máy ảnh của bạn, và sau đó, chúng sẽ cần thiết lập hoạt động tống tiền mà không bị bắt. Bạn phải đồng ý rằng khá nhiều nhiệm vụ phức tạp sẽ cần phải hoàn thành và khoản thanh toán tiềm năng sẽ dưới 600 đô la. Đột nhiên, bạn bắt đầu nhận ra rằng tuyên bố của kẻ gian không thực sự giữ nhiều nước.
Như bạn có thể thấy, lấy tất cả mọi thứ bạn thấy trong hộp thư đến của bạn với một lượng muối phù hợp có thể tạo ra sự khác biệt.
