12:15
16/1/2020

Otrzymujemy informacje od naszych Czytelników, że na ich skrzynki internetowe spływają e-maile od szantażysty, który domaga się wpłaty 3000 PLN w zamian za odstąpienie od dwudniowego ataku “uniemożliwiającego działanie sklepu”.

Oto jak wygląda wiadomość:

Pier Rech frqbudzqap@gmail.com

Sprawa do wlaciciela sklepu

Witaj. Jestesmy grupa hakerow i znalezlismy bledy w twoim sklepie przrz ktore mozesz starcic nad nim kontrole. Mozesz temu zapobiec kupujac ochorone, jednoranowa cena to trzy tysiace polskich zlotych. Co sie stanie jesli jej nie kupisz? Pokazemy ci jak wiele luk ma twoj sklep uniemozliwiajac mu dzialanie na 1-2 dni. Po tym pokazie cena ochrony bedzie wynosic osiem tysiecy polskich zlotych. Co sie stanie jesli jej nie kupisz? Mamy jeszcze kilka sztuczek po uzyciu ktorych przywrocenie sklepu do dzialania moze okazac sie niemozliwe. Potrafimy rowniez skutecznie zablokowac twoje social media. Jak oplacic koszt ochrony trzy tysiace polskich zlotych? Wplaty mozna dokonac tylko w kryptowalucie bitcoin na portfel: 1N4yVsfQ9KaebTBFrLxXCBe89TpuC6cCzL TERMIN platnosci uplywa 17.01.2020roku. Potwierdzenie wplaty np screen wyslij na adres: wakjerxpdg@gmail.com
Nie odpowiadaj na ta wiadomosc, nie odczytamy jej. Nasza propozycja jest nienegocjowalna.

Bazując na liczbie próbek jakie otrzymaliśmy, wnioskujemy że akcja jest dość szeroka i wszystko wskazuje na to, że to po prostu groźba bez pokrycia. Tego typu e-maile, straszące np. DDoS-em, który nigdy nie następował, kierowane do właścicieli internetowych biznesów opisywaliśmy już kilka lat temu.

Oszuści liczą na to, że ofiara się przerazi i zapłaci. Ale — o czym zapewne niebawem przekonają się odbiorcy tej wiadomości — brak wpłaty nie spowoduje żadnych ataków.

Mimo to, każdego właściciela internetowego biznesu zachęcamy do przyjrzenia się i przetestowania bezpieczeństwa jego sklepu/webaplikacji. Bo niewykluczone, że kiedyś ktoś może odezwać się z opisem konkretnego błędu i próbką już wykradzionych danych klientów…

Przeczytaj także:



15 komentarzy

Dodaj komentarz
  1. Warto z tym mailem pójść na policję. Przecież to klasyczna groźba karalna. Metody się zmieniły, ale wymuszanie haraczu nadal jest zajęciem początkujących mafiozów.

    Pan policjant pewnie ze stołka się nie ruszy, żeby wykryć nadawcę (sądząc po błędach w pisowni nie zna on za dobrze polskiego, więc z pewnością siedzi za granicą), ale przynajmniej będzie satysfakcja, że coś się zrobiło.

    • Ktoś kto przeprowadza taki atak jest osobą inteligentną. Korzysta z proxy, tora, linuxa, dedykowanego sprzętu. Pisownia jest celowa by nie można go było wytypować.

      Policja to nawet nie potrafi złapać 21-latka uciekającego pieszo. Musi go zabić by go dopaść. Policja potrafi tylko wypisywać mandaty. Czego innego to oni nie potrafią.

    • @studencik: Gdyby 21-latek uciekał przed policją w krajach bardziej od naszego cywilizowanych, to byłby zastrzelony kilka razy szybciej. Chcesz uciekać, miej świadomość, że kulka będzie szybsza.

      Co do inteligencji osób przeprowadzających atak bym nie przesadzał, większość korzysta z gotowych programów lub usług, ba, nawet teksty kupują…

    • @Kenjiro nie nazwałbym kraju w którym policja może zabić obywatela za uciekanie cywilizowanym

    • Kenjiro
      Tylko w państwach dyktatorskich strzela się w plecy uciejacemu gówniarzowi nie nazywając tego zwykłym morderstwem.

    • Policja zabija uciekającego chłopaka. Czy to jest powód aby strzelać do kogoś kto ucieka? Jak można zabić człowieka tylko dlatego, że ucieka? To jest morderstwo, brazylijskie standardy.

    • @Kenjiro 2020.01.17 08:26
      Policja może strzelać w sytuacji bezpośredniego zagrożenia życia (własnego lub osób postronnych). Nawet jeżeli wziąć wersję policyjną za dobrą monetę, nie wygląda na to, żeby uciekający z szkolnymi nożyczkami do papieru stanowił dla nich zagrożenie.

  2. Hmm, kiedyś do sklepu przychodziło kilku gości słusznej postury i mówiło, że od dzisiaj masz przymusową ochronę i kosztuje to tyle i tyle. I musiało przyjść po zapłatę. Dzisiaj to już nie trzeba nawet 4 liter podnosić, aby w ten sam sposób zarabiać …

  3. W sumie to dzięki takiej wiadomości, poprawi się bezpieczeństwo wielu sklepów internetowych. Wiadomość da do myślenia niejednemu prezesowi, że trzeba szkolić i doceniać dział IT.

    • Prezio zasięgnie rady kuzyna co ma szóstkę z informatyki i zakupi nowszą wersję windowsa pro! Do tego zakupi jeszcze kilka programików o których mowa na youtubie i postawi je w konfiguracji default włącznie z hasłem! Tacy są polscy janusze biznesu! A jak zdarzy im się wpadka z danymi osobowymi, to tłumaczą się ingerencją szantażysty, jakby szantażysta był jasnowidzem i znał wszelkie podatności konkretnego rozwiązania w tej firmie! Z drugiej strony, to samo szkolenie an które należy wysyłać pracowników IT, to jak nauka matematyki w szkole! Ilu po lekcjach matematyki w szkole potrafi policzyć pisemnie pierwiastek kwadratowy z wartości? Tak samo będziesz specem po tych szkoleniach… Nawet w przypadku prawa jazdy, masz godziny jazdy za kierownicą… A kiedy możesz uznać, że potrafisz dobrze jeździć?

  4. :-)

  5. Groźby okazują się być prawdziwe!
    Rano 17-go skrypt napisany w Pytonie, szukał dziur w sklepie. Na celowniku było 6 czy 8 modułów Presty, nie znam szczegółów,bo tylko z relacji.
    Ciekawe ile sklepów okazało się być podatnych na atak?

    • Skąd wiesz, że napisany został w pythonie?

    • Konto jest puste, atak nie jest trafiony. Polski rynek zbyt biedny by ryzykowac wplate 3k. Poza tym w kosciele mowili, ze BTC to syn szatana!

  6. Dostalem tego maila. Trzy dni pozniej byl maly ddos z okolo 80k hostow ktory na szczescie infrastruktura zniosla

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: