Novo golpe na praça tenta chantagear usuários de sites educativos

Outro dia recebi um email assustador: Basicamente algum hacker provavelmente russo havia instalado um vírus em um site "educativo" que eu acesso; ele instalou um Cavalo de Tróia em meu computador, gravando minhas visitas ao tal site, incluindo minhas atividades manuais de cunho recreativo que foram filmadas pela webcam de meu computador. Ele exigia US$2900 em bitcoins, ou eu entraria em modo Full Felipe Neto, e você nunca deve entrar em Full Felipe Neto.

Eis o email:

Por um momento fiquei assustado, a password que ele dava como prova realmente era uma antiga que eu usava em sites de baixa importância, só que eu não tenho US$2900 sobrando. Não tenho nem faltando. Por alguns segundos fiquei sem ação, até perceber um pequeno detalhe: Eu não tenho webcam. Não há como eu ter sido filmado.

Investigando mais um pouco, percebi todos os cheiros de um golpe.

1. Ele não diz quando a invasão ocorreu.
2. Não diz QUAL o site que eu estaria acessando.
3. A parte de iniciar keylogger com uma app em vídeo criando um acesso RDP é tipo criar uma GUI em Visual Basic pra rastrear um IP.
4. O código-fonte do email não tem nenhum "unique pixel" de rastreio, apesar da ameaça.
5. O prazo é incrivelmente curto. Nenhuma chantagem real é feita do dia para a noite, quanto mais tempo o alvo tiver e mais provas de que é real, mais está disposto a pagar.
6. Não há forma de obter provas da invasão; ele ameaça enviar as imagens para meus contatos caso eu exija uma evidência.
7. 8 contatos? Sério? Estou longe de ser a criatura mais popular da Internet mas eu só tenho 8 contatos?

A grande questão era a combinação email/senha. Como eles conseguiram? Na Internet, oras.

Não é de hoje que ocorrem vazamentos de dados de usuários de sites grandes e pequenos, como MySpace e Adobe. Alguns tão incompetentes que guardavam as senhas sem criptografia. Texto puro.

[box type="info"] Para descobrir quais sites e listas vazaram seus dados, é só consultar o have i been pwned?.[/box]

Em essência, a estrutura do golpe:

O vagabundo pega seus dados em um site de credenciais vazadas, escreve um email dizendo que você acessou conteúdo pornográfico (algo que 100% das pessoas fazem) e "prova" dizendo sua senha. A pessoa se assusta, pois tem culpa no cartório (todos temos) e uma minoria corre para pagar pois desconhece as mumunhas e marmotagens da Internet.

No caso do "meu" picareta a carteira estava vazia, o cara não conseguiu que nenhum trouxa cedesse à chantagem, mas em outros casos, como este reportado aqui, a carteira do chantagista já recebeu mais de US$27 mil.

Dicas:

É bem simples: Nunca use a mesma senha em mais de um site, ative autenticação de dois fatores sempre que possível e nada de senhas simples que podem ser quebradas por força bruta.

Conclusão:

Não cedam a chantagens online, muito menos quando o chantagista não dá nenhuma prova real de que tem material comprometedor. Não faça como o Pica-Pau. Procure a polícia se for uma chantagem real, mas não pague, do contrário tudo que irá acontecer será o sujeito exigir mais e mais dinheiro, e quanto você não puder mais pagar ele irá divulgar tudo do mesmo jeito, mesmo que você jure que não sabia que o tamanduá era menor de idade.