Personas que engañan a sus parejas siempre están abiertas a la extorsión por las partes implicadas. Pero cuando la información personal de millones de infieles son publicadas en Internet para que cualquier chantajista aproveche la oportunidad de descargar su información privada, como es el caso con el reciente hackeo por la página web de citas online AshleyMadison.com.

El email de un extorsionista para usuarios de AshleyMadison

Según las empresas de seguridad y una revisión de varios correos electrónicos compartidos con este autor, extorsionadores ven como una presa fácil la base de datos de los usuarios de AshleyMadison.

Rick Romero, el director  de tecnología informática de VF IT Services, Romero dijo que ha estado construyendo los filtros de spam para bloquear los intentos de extorsión salientes contra otros usuarios de su servicio de correo electrónico. Aquí se puede ver uno que bloqueó.

Hola,

Por desgracia, sus datos fueron filtrados en el reciente hackeo de Ashley Madison y ahora tengo su información.

Si usted quisiera que impedir que comparta esta información con su pareja, tiene que enviar exactamente 1.0000001 Bitcoins a la siguiente dirección (aproximadamente un Valor de $ 225 USD.):

1B8eH7HR87vbVbMzX4gk9nYyus3KnXs4Ez

Si no envías la cantidad exacta no sabré que eres tú quien pagó.

Tiene 7 días a partir de la recepción de este correo electrónico para enviar el BTC [bitcoins]. Si necesita ayuda para localizar un lugar para comprar BTC, puede empezar aquí…

El individuo que recibió este intento de extorsión (usuario de AshleyMadison) accedió a hablar sobre el ataque con la condición de que solo se usara su primer nombre (Mac), dijo que está «ligeramente preocupado» por los futuros ataques de extorsión, pero no por éste en particular.

«Si me pongo en los zapatos de los extorsionistas, la probabilidad de divulgación de información no va a aumentar sus posibilidades de conseguir el dinero, simplemente no voy a responder.” Dijo Mac.

Mac dice que está más preocupado por los ataques de extorsión dirigidos. Hace unos años, conoció a una mujer a través de AshleyMadison con la cual se conectó tanto física como emocionalmente, la cual está casada y tiene hijos. Mac es padre de varios hijos y ha estado casados ​por más de 10 años, Mac dijo que sus vidas estarían «muy perturbadas» si los extorsionadores cumplen con sus amenazas.

también indico que usó una tarjeta de prepago para pagar su suscripción en AshleyMadison.com, pero que la dirección de facturación de la tarjeta lo vincula a su domicilio.

«Así que ellos tienen mi dirección así como mi nombre y apellido, por lo que sería relativamente fácil para ellos obtener mis registros y averiguar quién soy», dijo Mac. «Voy a aceptar las consecuencias si esto se revela, pero obviamente prefiero que eso no suceda porque mi esposa y yo estamos muy felices en nuestro matrimonio.»

Por desgracia, los intentos de extorsión como el que ocurrió contra Mac es probable que aumenten, dice Tom Kellerman, jefe de seguridad cibernética de Trend Micro.

Kellerman está convencido de que veremos delincuentes que aprovechan los datos de AshleyMadison para llevar a cabo ataques de spear-phishing dirigidos a la entrega de software malintencionados, como ransomware, un diferente tipo de amenaza de extorsión que bloquea los archivos más preciados de la víctima con una clave de codificación secreta, a menos que la víctima pague un rescate (también en Bitcoins).

«Pronto va a haber una dramática ola de crímenes de este tipo, de extorsiones virtuales, y van a evolucionar en las campañas de spear-phishing que contienen malwares encriptados», dijo Kellerman. «Los mismos criminales que disfrutan la implementación de ransomware les encantaría usar estos datos.»

Los datos filtrados de AshleyMadison también podrían ser útil para extorsionar a personal militar estadounidense y potencialmente robar secretos del gobierno de Estados Unidos, temen algunos expertos. Unos 15.000 correos electrónicos con terminación en dot-mil (el dominio de nivel superior para los militares de Estados Unidos) fueron incluidos en la filtración de la base de datos de AshleyMadison, y esto tiene a los altos oficiales militares preocupados.

Según The Hill, el secretario de Defensa estadounidense Ash Carter dijo en su rueda de prensa el jueves que el Departamento de Defensa está investigando la fuga.

«Soy consciente de ello, por supuesto que es un problema, porque la conducta es muy importante», dijo Carter a los periodistas durante la rueda de prensa, informó The Hill. La publicación señala que el adulterio en el ejército es una ofensa enjuiciable en virtud del artículo 134 del Código Uniforme de Justicia Militar. La pena máxima incluye baja deshonrosa, el decomiso de todos los salarios y prestaciones, y el confinamiento por un año, así mismo Carter dijo a los  periodistas que los miembros del servicio encontrados en la página web de adulterio Ashley Madison podrían enfrentar una acción disciplinaria.

Kellerman dijo que los ataques contra el personal militar que usa AshleyMadison bien puede dirigirse a los cónyuges de las personas cuya información se incluye en la base de datos – todo en un intento de perturbar y afectar al cónyuge como una manera de robar la información del verdadero objetivo (el marido o esposa del militar) .

«Algo debe estar ya sucediendo para la Secretaria de Defensa para tener que realizar una conferencia de prensa sobre eso», dijo Kellerman. «En realidad, podemos ver campañas de spear-phishing contra los cónyuges de las personas que están involucradas en este ataque, que dicen: Oye, tu esposa o esposo estuvo involucrado en este sitio, ¿quieres ver la prueba de eso?

Y la prueba, en este escenario, sería una trampa que despliega un spyware o malware.

Mac, que no es un militar, dice que no se arrepiente de la relación que tenía a través de AshleyMadison; su único lamento es no es encontrar una manera de mantener su domicilio fuera de sus registros en el sitio.

«Me arrepiento de usar mi domicilio y algunos de mis datos personales que AshleyMadison no protegió como deberían haberlo hecho», dijo. «Pero realmente, estoy triste porque estos hackers sienten que es tan importante forzar la mano de las personas que tienen una perspectiva diferente de la vida.»

Los datos AshleyMadison se filtraron en varios sitios, pero los datos en sí no son fácilmente investigables por personas que no están familiarizadas con archivos database. Sin embargo,  han aparecido varios sitios, que permiten que cualquiera pueda buscar con cualquier dirección de correo electrónico y averiguar si esa dirección tenía una cuenta en AshleyMadison.com. Es cierto, AshleyMadison.com no siempre verifica las direcciones de correo electrónico, pero algunos de estos servicios de búsqueda en AshleyMadison indicarían si la dirección de correo electrónico asociada también tiene un registro de pago en otros lugares – algo que podría ser muy útil para los extorsionadores.

Fuente: krebsonsecurity

Compartir