IT-säkerhetsföretaget Barracuda Networks visar i sin studie Threat Spotlight hur stulna uppgifter från den så kallade AntiPublic Combo List bidrar till omfattande utpressning. Hotet består i att publicera påstådda videor som finns på datorn och visar hur mottagaren tittar på sexfilm. Informationen och listan började spridas redan 2016 och omfattar flera olika intrång där totalt cirka 500 miljoner lösenord kommit på avvägar.

Ett typiskt tillvägagångssätt är att skicka e-post där man redan i ämnesraden anger mottagarens stulna lösenord. På så vis hoppas man fånga uppmärksamheten och skapa en känsla av att hotet är på riktigt. I det ofta illa formulerade mejlet kräver avsändaren att mottagaren betalar en summa i Bitcoin. Annars kommer utpressarna att dela den påstådda videon med mottagarens kontakter.

Tomt hot som ändå skrämmer
Enligt Barracuda Networks har dock inte avsändaren någon video eller kontakter att skicka den till. Visserligen har de mottagarens lösenord, men det finns ingen skadlig kod eller trojan installerad som ger utpressarna tillgång till innehållet på datorn. Trots att utpressarna inte kan göra allvar av hotet skräms många mottagare och i en del fall betalar man det belopp som krävs.

– Även om det ringer många varningsklockor kan det förstås vara så att man lyckas skrämma en del mottagare på riktigt. Om mottagaren bedömer att hotet kan vara på allvar och avsändaren visar att man har tillgång till lösenordet kan den här typen av ”sextortion” uppenbarligen lyckas, säger Peter Gustafsson, ansvarig för Barracuda Networks verksamhet i Norden.

Den aktuella utpressningskampanjen började i juli men pågår fortfarande. Barracuda Labs har i studien undersökt drygt 1 000 e-postmeddelanden som inrapporterats manuellt under bara några dagar. Med tanke på att den korta tid som studerats och det faktum att bara inrapporterade mejl omfattas av undersökningen är det totala antalet utpressningsförsök sannolikt betydligt större.

Ett annat säkerhetsföretag, Cisco Talos, har undersökt problemets omfattning genom att samla in 233 236 spammeddelanden via SpamCop under perioden 30 augusti till 26 oktober 2018. Två perioder påbörjades under denna period, varav båda fortfarande är aktiva.

Utpressningsmejlen har skickats från IP-adresser från ett stort antal länder men omkring 50 procent kommer från Ryssland, Vietnam, Indien, Indonesien och Kazakstan. Mejlen har varit på flera språk: engelska, tyska, italienska, japanska, koreanska, arabiska, men även svenska, norska och finska.

Spamutskicken är gjorda från hela 137 606 unika IP-adresser – vilket innebär att de flesta adresserna bara skickat ett par meddelanden var. 15,826 unika mejladresser har varit måltavlor för spammejlen – vilket innebär att i genomsnitt har varje adress tagit emot 15 spammeddelanden.