Granskning: Porrutpressarna tjänar miljonbelopp på bluffmejl

2018-12-21 06:00  

Under 2018 har svenskarna översköljts av en serie bluffmejl från bedragare som påstår sig ha nakenbilder på dem. En granskning som Ny Teknik gjort visar att de lurat till sig över 1,6 miljoner kronor under året.

”Jag är medlem i en internationell hackergrupp”.

Så presenterar sig bedragarna bakom ett av många snarlika bluffmejl som har riktats till svenskar under året. De exakta formuleringarna varierar, men kontentan är: denne superhackare har tagit sig in på din dator och filmat dig när du besökt "”vuxenwebbplatser”.

Nu gäller det att pytsa upp pengar och det fort - annars sprids bilderna till alla dina vänner. Summorna de begär för att allt ska vara glömt är alltifrån någon tusenlapp till tiotusentals kronor.

Mejlen är förstås en ren bluff. Det finns inga kända fall där mottagarna faktiskt råkat ut för vad bedragaren påstår.

Men många känner sig kanske träffade. Inte minst för att bedragarna har använt ett listigt knep: de har kammat igenom nätet i jakt på läckta lösenord, och inkluderar dem i mejlen för att visa att de minsann vet hur du loggar in på dina konton.

Ny Teknik har undersökt hundratals bluffmejl som skickats till svenska e-postadresser och kan konstatera att bedragarna har tjänat stora pengar på blåsningen.

Totalt har vi hittat 41 bitcoin-adresser som bedragarna använder för att ta emot betalningar. Det är förmodligen bara en liten del av de adresser som bedragarna använt under året. I en rapport om bluffmejlen från it-säkerhetsföretaget Cisco Talos listas över 58 000 bitcoin-adresser som bedragarna använt i utskick i en lång rad länder.

Eftersom bitcoin-transaktioner lagras i en öppen loggbok går det att se hur många som har betalat in på kontona och hur pengarna sedan har flyttats.

Läs mer: Hon är expert på att ”hacka” människor

Av de 41 adresserna vi undersökt har 29 stycken fått in betalningar som kan matcha lösensummorna i utpressningsbreven. Totalt har de mottagit betalningar på knappt 45,5 bitcoins från sommaren när utskicken började till och med den 18 december.

Bitcoin-kursen har fluktuerat ordentligt under hösten och ligger i dag på runt 4 000 dollar för en bitcoin. Översatt i svenska kronor hamnar intäkterna då på drygt 1,6 miljoner kronor.

När kriminella har samlat på sig bitcoin är nästa steg att omvandla kryptovalutan till varor eller en mer användbar valuta. För att dölja spåren slussas pengarna ofta via en serie olika adresser innan de till slut hamnar på en handelsplats och växlas.

Genom att följa spåren mellan adresserna kan Ny Teknik se att det finns kopplingar mellan merparten av de 29 adresser som mottagit betalningar. I många fall hamnar pengar från flera bitcoin-adresser till slut på samma adress.

På Totalförsvarets forskningsinstitut FOI har en grupp forskare också tittat närmare på porrbluffarna. En granskning som ska användas som fallstudie i en kommande rapport.

De har bland annat analyserat över 300 utpressningsmejl där de hittat 11 olika bitcoin-adresser, och kan konstatera att det skett transaktioner mellan samtliga via som mest två mellanled.

– Det rör sig om samma typ av mejl som skickats under samma tidsperiod med elva tätt relaterade bitcoin-adresser som varit aktiva under perioden. Då kan man anta att det finns en koppling mellan dem och att det förmodligen är samma personer eller gruppering som ligger bakom dem, säger Jonathan Svensson som är forskare på enheten Människa Teknik Organisation på FOI.

Polisen har förstås också följt bluffmejlen under året, och flera gånger varnat för att gå på bedragarnas knep. Jan Olsson på Nationellt it-brottscentrum uppskattar att det har kommit in hundratals anmälningar om porrutpressare sedan sommaren.

Själv tror han inte att det är en enda grupp bedragare som ligger bakom alla mejlen. Det finns vissa skillnader i tillvägagångssättet mellan de olika utskicken.

– Jag tror inte att det är samma gruppering bakom allt. Jag tycker att nyansskillnaden är för stor om man tittar på hur de uttrycker sig och vilka metoder de använder, säger Jan Olsson.

Läs mer: Fem sätt hackare kan attackera med hjälp av artificiell intelligens

Polisen följer sedan hur pengarna rör sig mellan kontona för att försöka hitta spår som kan hjälpa till att identifiera gärningsmännen. Det kan till exempel handla om ip-adresser eller användarnamn som loggas när bitcoins växlas mot annan valuta. Än så länge har ingen misstänkt gripits.

Jan Olsson säger att de kan konstatera att kontona som används av utpressarna har tagit emot "hundratusentals" kronor i betalningar, men menar att det är svårt att säga med säkerhet att alla pengar kommer från utpressningskampanjen.

– De som anmäler är personerna som väljer att inte betala, så jag kan inte veta vem det är som satt in pengarna. Det går inte att säga säkert om pengarna kommer från utpressningsmejlen, narkotikahandel eller något helt annat. Även om sannolikheten är stor att de kommer från utpressningsmejlen, säger Jan Olsson.

Har du någon uppfattning om hur vanligt det är att folk betalar?

– Jag tror att de som betalar är undantagsfallen, men eftersom man skickar ut hundratusentals mejl i Europa så kan den totala summan bli ganska hög även om bara någon promille betalar.

Så gjorde vi granskningen

Under december samlade Ny Teknik in bitcoin-adresser från utpressningsmejl som kommit till redaktionsmedlemmar, via Facebook-grupper och från Totalförsvarets forskningsinstitut FOI. Totalt hittade vi 41 unika bitcoin-adresser.

Eftersom alla bitcoin-transaktioner lagras i en öppen loggbok går det att se överföringar till och från bitcoin-adresserna. Vi gick igenom alla 41 konton och letade efter insättningar som kunde matcha beloppen i utpressningsbreven (vi har sett exempel på alltifrån några hundra dollar till flera tusen dollar i lösensumma).

Några exempel på utpressningsmejlen

Bluffmejl är förstås inget nytt, men det finns några saker som utmärker mejlutskicken under åren. De handlar alla om att du blivit fångad på bild när du kollat på porr, de är i regel väldigt hotfulla och lite raljant skrivna och innehåller en del uppgifter som ska få dem att se ut att vara riktade specifikt till dig –  trots att de är automatgenererade och skickas till tusentals användare.

Den här typen av formuleringar använder bedragarna för att få dig att tro att ditt konto eller din dator blivit hackad.

”Jag är en programmerare som knäckte ditt e-postkonto och enhet för ungefär ett halvt år sedan. Du har skrivit ett lösenord på en av de otrygga sajterna du besökte, och jag fångade den”, skriver en bedragare på knagglig svenska.

En annan variant är att bedragarna samlat på sig gamla lösenord och användarnamn som läckt ut i tidigare dataintrång. Sedan inkluderar de uppgifterna i sina mejl för att få dem att kännas mer personliga:

”I have bad news for you. 06/28/2018 – on this day I hacked your operating system and got full access to your account. On that day your account [användarnamn] password was: [lösenord]. It is useless to change the password, my malware intercepts it every time”, skriver bedragarna i ett sådant mejl som Ny Teknik tagit del av.

En tredje går in på tekniska detaljer om sårbarheter i din router som gjort dataintrånget möjligt:

”The hacking was carried out using a hardware vulnerability through which you went online (Cisco router, vulnerability CVE-2018-0296).”

Porrutpressarna har de senaste månaderna fått sällskap av några värre varianter. IDG.se har rapporterat om varianter av mejlen där utpressarna hotar att skicka en bomb hem till dig eller leja en lönnmördare om du inte betalar. Återigen finns inga som helst belägg för att hoten är på allvar.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt