Sextortion: nós estamos assistindo (e hackeando)
No terceiro episódio da terceira temporada de Black Mirror, "Shut up and dance!" ("Manda quem pode", S03E03), Kenny é a personagem de um adolescente tímido e fechado, introspectivo, vítima de sextortion. O episódio se desenvolve do ponto em que Kenny é filmado pela câmera do seu computador, que foi ligada remotamente por um criminoso para observar e gravar todas as suas atividades do quarto, sem ele saber.
Durante a apresentação da personagem de Kenny e de sua família, descobrimos, então, que Lindsay, irmã mais nova de Kenny, baixou e instalou um programa para assistir filmes gratuitamente no laptop (easter egg contra a pirataria, não?).
Para remover o malware que a irmã instalou sem querer em seu computador, Kenny tenta consertá-lo instalando outro programa que encontrou na Internet, e que este - dizendo que limparia o computador dos usuários - começa a então monitorá-lo pela câmera.
Sex + extortion?
Para entender melhor o termo, pensemos no ocorrido com Kenny. Kenny é flagrado pela câmera do computador, enquanto acessa um site de pornografia e se masturba; com a gravação em mãos, o criminoso virtual resolve tomar conta da vida do adolescente, submetendo-o às suas vontades. Kenny se dá conta de tudo o que está acontecendo somente depois de receber um e-mail desconhecido, escrito por aquele que o monitora, com a seguinte mensagem:
WE SAW WHAT YOU DID ("Nós vimos o que você fez")
Com o vídeo, do fato consumado pelo garoto anexo ao e-mail, Kenny começa a entender sua situação e observa aterrorizado. Sem esboçar nenhuma ação, recebe em segundos outra ameaça:
REPLY WITH YOUR NUMBER PHONE OR WE POST THE VIDEO TO EVERYONE IN YOUR CONTACTS ("Responda com seu número de telefone ou nós enviaremos o vídeo para todos os seus contatos")
E assim, a narrativa do terror adolescente começa...
Ficção ou realidade?
Há algumas semanas, eu resolvi abrir meus e-mails pelo computador para limpar a minha caixa postal e também uma recheada caixa de spam com todo tipo de lixo por ali: promoções, viagens, advogados, corretores, provedores de serviço, etc. Rotineiramente, durante essa limpeza, percorro os assuntos de cada e-mail para saber quais tipos de spam têm chegado até mim[1]. No entanto, enquanto removia diversos da lista, clique a clique, o assunto de um e-mail se destacou: percebi que ali havia uma senha que eu costumava utilizar há alguns anos.
Por hábito (e por uma pseudo segurança, muito, mas muito errada), eu utilizava um único padrão de senhas: um padrão seguido por uma palavra-chave qualquer que identificava o site ao qual a senha pertencia. Por exemplo: 1dois3quarto@facebook; ou 1dois3quarto@twitter; ou 1dois3quarto@gmail. E foi assim que pude identificar a minha senha exposta no assunto do e-mail.
O corpo do e-mail está abaixo, na íntegra, com algumas pequenas omissões no conteúdo para evitar identificação dos endereços.
I am aware 1dois3quarto@split is one of
your passphrases.
Lets get straight to the purpose. absolutely
no one has paid me to investigate about you.
You do not know me and you are probably
thinking why you are getting this mail?
in fact, i installed a software on the
X videos (pornographic material) web site
and do you know what, you visited this
website to have fun (you know what i mean).
While you were watching video clips, your
web browser began working as a Remote
control Desktop having a key logger which
gave me access to your display as well as
web camera. immediately after that, my
software collected all of your contacts
from your Messenger, social networks, as
well as emailaccount. Next i made a
double-screen video. 1st part shows the video
you were watching (you have a good taste hehe),
and 2nd part displays the view of your cam,
yea it is u.
You have two options.
We should check out the possibilities in
particulars: First choice is to disregard
this e-mail. Then, i will send out your
actual video clip to each of your your
personal contacts and then think about the
embarrassment you will definitely get. and
definitely if you are in a romance, how it
will eventually affect?
Number 2 choice will be to compensate me
USD 850.
We are going to regard it as a donation.
as a result, i will promptly eliminate
your video footage. You could go forward
everyday life like this never happened
and you never will hear back again from
me.
You'll make the payment via Bitcoin (if
you don't know this, search 'how to buy
bitcoin' in Google search engine).
BTC address to send to: [REMOVIDO]
[case SeNSiTiVe so copy and paste it]
in case you are thinking about going to the
cops, surely, this email cannot be traced
back to me. I have dealt with my actions.
i am not looking to ask you for money a
huge amount, i wish to be paid for. e mail
if i do not receive the bitcoin, i will
definately send out your video to all of
your contacts including relatives, coworkers,
etc. However, if i receive the payment, i
will erase the video immediately.
If you want to have proof, reply with Yea
then i will send your video to your 15 friends.
it's a non-negotiable offer therefore do not
waste my personal time and yours by replying
to this message.
Graças ao padrão de senhas que eu adotava na época, pude identificar então a origem daquele cadastro e da senha, mas não me lembrava a qual serviço e o motivo pelo qual eu havia me cadastrado naquele site. Só depois de buscar no Google, eu consegui, por fim, encontrar respostas para todas as perguntas que eu estava fazendo na minha cabeça.
O que aconteceu?
Em 7 de novembro de 2013, o aplicativo e serviço de streaming Xsplit foi hackeado devido a uma vulnerabilidade desconhecida no seu sistema. Lembro de, por volta de 2012, me cadastrar neste site para testar o serviço de streaming oferecido; desta forma inclui minhas informações no site (e, infelizmente, concordei com a política da empresa). O banco de dados do aplicativo, contendo informações de acesso e dos usuários, foi violado, e exposto na Internet apenas em 2015, dois anos após a descoberta da falha no sistema[2]. Foi a partir deste banco de dados das informações dos usuários, que grupos criminosos conseguiram acessar os dados sigilosos dos cadastros, como nome, e-mail e senha, e utilizar estas próprias informações dos cadastros para hackear ou chantagear as pessoas, como foi meu caso.
E é importante dizer que o caso não é raro: empresas e serviços como Adobe, Sephora, Snapchat, Sony, tumblr, Xiaomi, Vodafone, etc., já tiveram suas informações expostas a público. E o número só aumenta... Existem diversas páginas e blogs que alertam para este tipo de extorsão por e-mail, o que nos leva a concluir que é um padrão de extorsão muito comum, e não um caso isolado ou contra alguém específico[3] [4] [5]. Mas que poderia ser...
Outras conclusões
Quando terminei de ler o e-mail, acabei identificando que tratava-se de um golpe virtual: ora por surgir na minha caixa de spam, ora pelo vocabulário, ora pelo pretexto da presença de um suposto vídeo pessoal, ora pelas ameaças, enfim... e tudo escrito em inglês, enviado para alguém que a língua materna é o português, embora a fluência em língua inglesa. E não!, não me pareceu plausível. Agora, pensando na população leiga, e brasileira, não acredito que este tipo de extorsão tenha algum retorno para os criminosos, devido a barreira do idioma, pela quantia sugerida da extorsão, e pela barreira tecnológica. Afinal, qual leigo conseguiria comprar bitcoins, apenas pesquisando no Google sobre?
Segundo ponto: a minha senha exposta no assunto do e-mail era antiga, de um padrão que eu não utilizava há alguns anos; ainda que fosse atual, eu facilmente conseguiria identificar a qual cadastro ela pertencia: ao buscar no Google sobre o tal serviço, descobri que este serviço havia sido hackeado. Conclusão: utilize diferentes senhas para diferentes serviços/ sites, para não se preocupar com todos os outros serviços on-line em que está cadastrado, e troque suas senhas regularmente; eu não precisei me preocupar em mudar a senha de outros sites; sei que estou vulnerável apenas naquele site específico. Para saber se suas informações pessoais vazaram em algum momento (dessa Internet toda), acesse o site Have I Been Pwned?. Lá, ao digitar seu endereço de e-mail, uma busca será realizada entre todos os leaks ("vazamentos") que foram a público.
Terceiro ponto: quando recebemos qualquer mensagem ou e-mail, pedindo por dinheiro, ignore! Não importa a gravidade da ameaça, ignore. Nós, brasileiros, conhecemos muito bem extorsões deste tipo, e sabemos que trata-se de um golpe. Instrua as pessoas mais novas e as mais velhas para ignorar, elas são as mais vulneráveis.
Por fim, publicarei um texto em breve sobre como escolher e definir uma senha para os diferentes serviços on-line disponíveis, pois há muito (e muito!) para debater sobre o assunto.
[1]: Observo todos os spams recebidos para uma análise de vírus e malwares que estão circulando pela Internet, quando há algum.
[2]: https://haveibeenpwned.com/PwnedWebsites#XSplit
[3]: https://krebsonsecurity.com/2018/07/sextortion-scam-uses-recipients-hacked-passwords/
[4]: https://blog.malwarebytes.com/101/2018/10/sextortion-emails-theyre-probably-not-watching/
[5]: https://www.theguardian.com/technology/askjack/2019/jan/17/phishing-email-blackmail-sextortion-webcam