Vem låg bakom Screencam-utpressningen förra månaden?

Mejlen var en ny twist på den gamla scamen, vilket gjorde det mycket mer trovärdigt.

Avsändaren påstår sig i mejlen vara en hackare som har komprometterat din dator och använt sig av din webbkamera för att spela in en video på dig medan du tittar på barnförbjudet innehåll.

Avsändaren hotar sedan med att skicka inspelningen vidare till alla dina kontakter om du inte betalar en lösensumma.

Den nya twisten? Mejlen hänvisar till ett lösenord som du använder eller har använt dig av.

Enligt Krebsonsecurity, som har tittat närmare på attacken, verkar det som om attacken är semiautomatiserad och använder sig av lösenord från tidigare hackade kunddatabaser.

Sådana här saker händer regelbundet, så vad kan man göra för att minska konsekvenserna av det?

Enligt FBI finns det vissa klassiska råd som fortfarande fungerar om du vill undvika att bli utsatt:

- Skicka aldrig någonsin komprometterande bilder på dig själv till någon, oavsett vem det är eller utger sig för att vara.

- Täck för webbkameror när du inte använder dem.

Vem ligger bakom?
Enligt experterna är det knappast en vanlig cyberbrottsling- eller grupp. Det verkar däremot troligt att det rör sig om en större grupp spammare och hackare som har byggt vidare på den gamla scamen efter att ha märkt att det faktiskt är en del människor som betalar.

Vi får nog aldrig reda på vem som låg bakom, men med hjälp av kriminalteknik finns det ändå många ledtrådar att följa:

Den 7 augusti 2018 lägger en användare på forumet som tillhör mejlservern hMailServer upp en kopia på ett Sextortion-mejl som han har fått. Användaren anger också avsändarens domännamn (williehowell-dot-com) och serveradress (46.161.42.x).

Om man luskar vidare i domännamnet hittar man Hicham Aallam, som är en e-post-marknadsförare från Tanger i Marocko. Aallam har enligt Spamhaus kopplingar till en rätt välkänd grupp av spammare.

När han blev utfrågad om Sextortion-mejlen berättar Aallam att han inte visste om att hans mejltjänst användes i scamningssyfte, men att han nyligen hade sålt ett mejl-script till en kund med Skypeanvändarnamnet ”brian.ortaga_4”, som leder till ”barbarich_Viachelav_Yuryevich”, som i sin tur kan kopplas till Reactor, som är känd för sina attacker på bland annat Target och Sally beauty.

Det är intressant hur långt man kan komma med bara några få spår, även om det än så länge är ytterligare en bit kvar till att hitta den som är ansvarig.

Om du själv vill lära dig mer om Ethical Hacking eller Cyberundersökningar kan du ta dig en titt på EC-Councils kurser och certifieringar.