sextortion欺诈事件解析 Secer's Blog - 记录互联网安全历程与个人成长经历

文章为翻译稿件，翻译自：https://blog.talosintelligence.com/2018/10/anatomy-of-sextortion-scam.html

自今年7月以来，攻击者越来越多地在互联网上进行sextortion型攻击。思科Talos在过去几个月对这些活动进行持续的关注。在许多情况下，恶意邮件发送者从泄露的公开可用的数据中盗取电子邮件地址和密码，然后使用这些数据来帮助他们进行sextortion攻击。实际上攻击者没有将他们进行对目标进行攻击的视频放到网上，但是如果受害者在一定时间内没有支付赎金，那攻击者将会发送电子邮件告诉受害者他们会将隐私视频内容放到网上。其中包括收件人的密码以及他们的付款要求，并且攻击者希望将他们的攻击合法化。虽然这些攻击已持续数月，但Talos希望仔细研究其中的一些活动以了解为什么用户会被欺骗并向攻击者发送大量比特币。通过详细研究一些垃圾邮件，我们的研究人员能够深入了解这些犯罪活动的运作方式。

sextortion攻击分析

为了更深入地了解sextortion骗局，Talos提取并分析了两个非常相似的sextortion垃圾邮件。经过我们分析，第一个垃圾邮件攻击始于2018年8月30日；第二个活动于2018年10月5日开始。在撰写此博客时，这两个活动仍处于活跃状态。

Talos从2018年8月30日到2018年10月26日从SpamCop处收到了有关这两个sextortion活动中的所有消息 - 58天的垃圾邮件。与这两个sextortion攻击有关的每条消息都包含一个标题，该标题与以下两个正则表达式相匹配：

From =~ /Aaron\d{3}Smith@yahoo\.jp/
From =~ /Aaron@Smith\d{3}\.edu/

总的来说，SpamCop收到了233,236封与这些“Aaron Smith”攻击活动相关的sextortion电子邮件。而攻击消息是从137,606个唯一的IP地址传输出来的。绝大多数发送IP地址发送了一条或两条的消息。作为此活动的一部分，此IP地址中包含了120,659个发送方IP（87.7％）。

发送出消息的IP分布在许多国家。但50％的垃圾信息来自五个国家：越南（15.9％），俄罗斯（15.7％），印度（8.5％），印度尼西亚（4.9％）和哈萨克斯坦（4.7%）。
如果你对其中一些国家很熟悉，那可能是因为印度和越南层被公认是拥有极大数量的机器国家。然而这些机器被Necurs僵尸网络感染。众所周知，Necurs这是一个恶意软件公司。

尽管在个攻击活动中有233,000封电子邮件被发送，但收件人的数量却是远低于此数量。Talos仅发现15,826个不同的受害电子邮件地址。这意味着攻击者要为每个收件人平均发送近15个sextortion垃圾邮件。数据集中其中一个不幸的受害者曾收到过惊人的354次邮件。

每个sextortion垃圾邮件都包含了付款需求。攻击者所要求的付款具体内容根据攻击系列有所不同，其实一个在1-7之间的整数随机数字，其后跟随三个零（$ 1,000 - $ 7,000）。所以支付的六种支付金额在政哥电子邮件集合中出现的频率几乎相同，这表明攻击者对待所有受害者没有差别。

除了支付需求之外，每个sextortion消息还包含比特币（BTC）钱包地址以从受害者账户中接收付款。总的来说，Talos确定了与这两个垃圾邮件活动相关的58,611个独特比特币钱包地址。在这58,000个比特币钱包中，只有83个钱包有正余额。然而，这83个钱包的余额加起来为23.3653711比特币，相当于146,380.31美元。考虑到攻击者仅60天实施一次攻击，所以其危害性并没有太大。

如果你注意到那些随着时间推移而改变的比特币钱包与受害者电子邮件的数量，可以发现攻击者会定期使用新的数据进行攻击活动。独特的比特币钱包的数量趋于峰值，然后随着时间的推移逐渐减少，直到它再次达到峰值。从图中看到，新的钱包地址的最后一次主要注入发生在10月9日。随着时间的推移，对于某些邮件接收者也有着相同的情况。10月9日附近出现了大量的新收件人。

不幸的是，当我们进一步挖掘具有正余额的部分比特币钱包时，我们注意到有关钱包支付金额的一些奇怪之处。几个钱包已经收到了远远低于这个特定活动所要求的最低1,000美元付款的转账。付款金额过低，不属于比特币价格波动逻辑可以解释的范围。

我们的研究人员发现，这次袭击中使用的一些钱包地址在其他攻击中也出现过。攻击者在不同的垃圾邮件攻击中重复使用他们的一些比特币钱包地址。

鉴于攻击者的比特币钱包被重用，Talos决定扩大我们的研究范围，包括所有提及“比特币”的垃圾邮件，同时还拥有一串类似于电子邮件正文中的比特币钱包地址的26-35字符。

攻击者所使用个人信息

我们发现的第一个相关sextortion攻击事件是利用了受害者的电话号码而不是他们数据泄露的密码。

虽然电话号码不像用户密码那样私密或机密，但它仍然可以说是具有隐私性的。通过获得受害者的电话号码，攻击者可以进一步利用使受害者相信他们。

如果你仔细阅读文本，你会注意到此电子邮件中的大部分文本与Talos之前分析的“Aaron Smith”活动中包含的文本内容几乎相同，尤其是结尾段落。

事实上，在搜索SpamCop时，我们遇到了一个示例电子邮件，其中攻击者错误地披露了他们的模板，其中包含选择您自己的冒险风格的文本，这些模板用以生成各种邮件正文作为其分发垃圾邮件的一部分。

SEXTORTION的国际化

IBM X-Force的安全研究人员最近发现了一个据称于2018年9月底通过Necurs的僵尸网络基础设施实施的一个黑客攻击。

利用IBM提供的20比特币钱包指示（IoC），Talos确定了近1,000个参与传输“Aaron Smith”垃圾邮件的相关攻击IP地址，以及IBM X-Force与Necurs僵尸网络相关的国际化垃圾邮件。根据发送的IP地址相同这个情况表明，这两个事件是由同一个组织进行的。

除了X-Force博客中确定的7种不同语言（ENG，GER，FRE，ITA，JPN，KOR，ARA）之外，Talos还确定了捷克语，西班牙语，挪威语，瑞典语和芬兰语。

其他攻击的不同手法

当我们从SpamCop研究其他与比特币相关的垃圾邮件时，我们遇到了利用比特币支付的社工攻击。

在上面详述的“我知道你正在进行欺骗”勒索案例中，攻击者声称有证据证明受害者的伴侣实际上在欺骗他们。虽然消息中的文字措辞有点熟悉，但它与其他勒索攻击（例如，通过包含附加的QR代码）不同，它实际上可能是完全不同的攻击者进行的攻击。

Talos还发现了与勒索相关的暴力信息，攻击者声称他们已经付费去杀死了收件人。袭击者声称本来他们已经安排好了交通工具，但是由于注意的改变，他们现在愿意将雇佣者的信息出售出去。同样，这种消息的格式和措辞看起来与我们在多个sextortion电子邮件中看到的文本非常相似。虽然我们怀疑它，但Talos不能肯定地说这些暴力勒索电子邮件实际上是同一攻击者所为。

我们注意到有一些与比特币相关的垃圾邮件事件。虽然他们很难与Necurs僵尸网络事件相联系，但他们也说明了一些受害者通过社交工程进行攻击的情况。虽然很少将它们与Necurs僵尸网络相联系，但他们是通过社工进行攻击的一个典型例子。

首先，针对受害者的攻击是基于快速致富计划的思想。在此攻击中，攻击者鼓励收件人将比特币发送到钱包地址，他们的比特币将在三小时内神奇地翻倍。这个比特币“倍增器”声称利用了一个未公开的“系统中的错误”。虽然部分用户可能能够快速识破这是一个骗局，但是一些没有受过比特币概念教育的用户可能容易受到这种类型的垃圾邮件的影响。

其他与比特币相关的垃圾邮件是针对那些可能进行捐赠给慈善机构的人。虽然减轻受到军事侵略影响的儿童的痛苦受人钦佩，但在我们的信息中找不到任何一个合法的慈善组织机构。

我们还发现了一则声称是“正能量邮件”的垃圾邮件。消息正文中写着：“你知道那些不断流传的电子邮件试图勒索你的比特币。其声称他们已经破坏了你电脑中的相机并且有他们计划与你的朋友和家人分享的令人尴尬的视频和照片吗？...... 这不是其中之一！”

在这封电子邮件底部附近的问答部分，垃圾邮件发送者写道：“问：我们怎么知道这是合法的？答：你没有。我们实际上很难在不暴露自己的情况下发布证据。我们对此进行道歉但这是我们能做的最好的事情。“

如果你对整个10月4日的比特币抽奖结果感到好奇，请注意垃圾邮件中提到的这一笔比特币钱包交易。这笔交易发生在9月28日，价格为4美元。

总结

大多数制止垃圾邮件的解决方案都会进行过滤尝试。然而，这不是过滤子弹。当这些垃圾邮件进入用户的电子邮件收件箱时，许多用户有可能因为没有受到足够的教育，无法确定这是一个旨在让他们放弃比特币的骗局。不幸的是，从大量比特币案例中可以清楚地看出，这些受害者要走的路还很长。