Bagmænd bag falsk sexafpresning tjener millioner

Falsk sexafpresning stammer formentlig fra organiserede it-kriminelle, viser nye undersøgelser.

Det har været en god forretning for organiserede kriminelle at sende falske sexafpresningsmails ud til millioner af mennesker. (Foto: DADO RUVIC © Scanpix)

Måske er du en af de mange tusinde danskere, der har modtaget en mail, der truer med, at afsenderen har en video af dig, der besøger pornosider på nettet, som bliver frigivet, hvis ikke du betaler et beløb i bitcoins.

I langt de fleste tilfælde er det tomme trusler, og bagmændene har ikke noget grænseoverskridende videomateriale på dig. Men truslen kan virke ægte, fordi de nogle gange 'krydrer' trusselsbrevet med ægte informationer. Og det er en god forretning at sende de mange spammails ud.

En gruppe forskere og it-sikkerhedseksperter har opdaget, at bare en enkelt gruppe har tjent flere millioner kroner ved at sende flere millioner af falske sexafpresnings-mails ud.

Faktisk har afpresserne haft en indtjening på mere end 8,5 millioner kroner over den 11 måneder lange periode, hvor ekspertnerne har sporet betalingerne til afpressernes bitcoin-konti.

- Jeg var ikke i tvivl om, at det her var stort, og det her viser, at det er omfangsrigt. Tallet er stort, og det er mit indtryk, at det vokser, men det er ikke et overraskende stort tal, siger Henrik Larsen.

Han er chef for DKCert, der er ansvarlig for sikkerheden på forskningsnettet i Danmark, og som overvåger og advarer om tendenser hos it-kriminelle.

Afpressere bruger hackede passwords

Forskerne og eksperterne har fået udleveret over fire millioner eksempler på den her type sexafpresnings-mails, også kaldet sextortion-mails fra it-sikkerhedsvirksomheden Excellos mail-filter. De er altså aldrig nået frem til modtageren.

Ud fra de mange mails kan eksperterne både se, hvilke taktikker afpresserne bruger for at skræmme dig til at betale dem - og de kan begynde at følge et pengespor ved at se, hvor og hvordan afpresserne vil modtage betaling.

Det kan være dit gamle password eller dit gamle bruger-id, som afpresserne har fundet i hackede brugerdatabaser fra for eksempel Yahoo og LinkedIn, der har været tilgængelige på nettet i årevis. Du kan selv tjekke, om din mail og kodeord ligger frit tilgængeligt på webtjenesten HaveIBeenPwned.

Afpresserne bruger nogle få oplysninger om dig fundet i internettets digitale vraggods, som de bruger til at overbevise dig om, at de ved meget mere om dig, end de faktisk gør.

- Man bliver jo forskrækket over den tekst, man ser, måske med sit password i. Nogle af de senere bølger af mails har ikke det element, men man bliver alligevel bange. Man kan tænke over, om det kan være rigtigt, at man har besøgt de sider, de påstår. Og om oplysningerne, de ellers giver, passer, siger Henrik Larsen.

Og derfor bør man smide mailen ud, sammen med andet spam, anbefaler Henrik Larsen.

Afpresning er en millionforretning

Og nu tænker du måske, hvordan man kan blive millionær på at sende spammails ud, når hele verden efterhånden har lært ikke at svare på dem? Svaret er, at afpresserne sender virkelig mange mails ud, og så koster det dem stort set intet at gøre det. De skal kun bruge meget få, der bliver så bange, at de sender penge, før det giver overskud.

Det meste andet spam på nettet kræver, at bagmændene har hjemmesider til at sælge dig for eksempel billige kopivarer eller kopimedicin over fungerende betalingssystemer. Det inkluderer en bank, der ikke holder for godt øje med, hvor pengene fra salg kommer fra.

Derudover skal bagmændene have muligheden for at sende millioner af mails ud i håb om at få et salg på krogen. Og det koster alt sammen penge og eksponerer bagmændene for at blive snuppet i det, de laver.

Med den falske sexafpresning skal bagmændene kun kunne sende de mange mails ud og modtage bitcoin-betalingen. De skærer altså både omkostninger og risici fra.

"Det er organiseret kriminalitet"

Ifølge Henrik Larsen er det mest interessante ved den nye undersøgelse, at den viser, at den her type it-kriminalitet er organiseret:

- I den her undersøgelse kommer vi en smule nærmere, hvem bagmændene er, og det er spændende. Generelt kan man sige om afpresning på nettet, at det er organiseret kriminalitet. Det er ikke grupper, der svarer til vores typiske billede af en ung hacker, der bor hjemme, siger Henrik Larsen.

Andre eksperter har også undersøgt den her type online-fusk, og de kan se, at mange af bitcoin-adresserne, som afpresserne vil have penge sendt til, går igen. For esksempel blev en adresse anvendt i over 3 millioner mails.

Desuden går nogle af adresserne i de mange indsamlede mails også igen i andre spam-meddelelser - blandt andet en, hvor afsenderen giver sig ud for at være en russisk kvinde, der vil bytte nøgenvideoer for 100 dollars i bitcoins.

Sådan gjorde forskerne

  • Forskerne har indsamlet over fire millioner afpresningsmails, som de har sorteret efter deres indhold og afpresningsstrategi

  • Dernæst har de indsamlet de bitcoin-adresser, som afpresserne kræver pengene indbetalt på.

  • Til sidst har forskerne kigget på den offentligt tilgængelige database over bitcoin-transaktioner, den såkaldte blockchain, for at spore, hvordan penge går til og fra afpressernes konti, og hvor mange penge de har tjent.