"Hackeei sua webcam, envie BTC": como desarmei o e-mail que me custou 3 noites em claro
Principais Resultados
O Desafio
Um contador de 34 anos em Nova York abriu a caixa de entrada certa manhã e encontrou um e-mail ameaçador com a sua própria senha impressa no topo. A mensagem era direta: "US$ 1.500 em BTC em 48 horas ou seus contatos recebem o vídeo que gravei pela sua câmera." A senha familiar o paralisou. Passou 3 noites em claro pesquisando como comprar BTC. Estava a 2 cliques de enviar o pagamento.
Nossa Solução
Em uma consultoria gratuita de 30 minutos, a Altahonos rastreou a senha até o vazamento Collection #1 de 2019. Confirmou-se que o e-mail era um disparo em massa por bot enviado a milhões de pessoas. Nenhum dispositivo havia sido acessado, nenhum vídeo existia. O 2FA foi configurado em todas as contas críticas e foi ativada uma monitoração de vazamentos de 7 dias.
O que aconteceu?
Uma manhã comum. Caixa de entrada aberta. E lá, na primeira linha do e-mail: uma senha antiga. A senha dele. Uma que ele havia usado anos atrás e mal lembrava.
O e-mail continuava: "Tenho acesso a todos os seus dispositivos. Gravei vídeo pela sua webcam. Envie US$ 1.500 em BTC em 48 horas ou seus contatos recebem o vídeo."
Um contador de 34 anos em Nova York — ele congelou. A senha era real. Ele a usara por anos. O resto também seria real?
3 dias, 0 sono
Seu primeiro instinto foi apagar e seguir em frente. Mas algo o deteve: aquela senha. Não era aleatória. Era genuinamente dele. E se tivessem mesmo acesso?
Pensou em ir à polícia. Mas e se o vídeo fosse real? Seus colegas. Sua família. Seus clientes. Naquele estado de pânico, pensar com clareza era quase impossível. Sua mente voltava sempre à mesma pergunta: "O que acontece se eles enviarem?"
Não conseguia dormir à noite. Durante o dia, ficava olhando o celular no meio das reuniões com clientes. Perdia o fio das conversas. Por três dias, viveu naquele ciclo.
Pesquisou como comprar Bitcoin. Abriu uma conta em exchange. Concluiu a verificação de identidade. Chegou à tela de transferência. Inseriu o valor. Estava a 2 cliques de enviar.
Parou. E ligou para a Altahonos.
Como esse ataque realmente funciona
Esses e-mails são conhecidos como sextortion bot-blasts. Veja como funcionam: atacantes compram na dark web listas de milhões de endereços de e-mail e senhas antigas correspondentes. Essas listas vêm de grandes vazamentos de dados ocorridos anos atrás. LinkedIn, Adobe, MySpace, centenas de sites menores. Bilhões de credenciais ainda circulam hoje.
O atacante envia o mesmo e-mail a cada pessoa da lista. A única diferença é que cada e-mail inclui a senha real daquela pessoa. Esse único detalhe faz a mensagem parecer pessoal e crível. Cria a impressão de que alguém realmente conhece você.
Na realidade, nenhum dispositivo é acessado. Nenhum vídeo é capturado. O atacante opera com uma lista, um modelo e um sistema de envio automatizado. O mesmo e-mail chega a milhares de pessoas ao mesmo tempo, em todos os países.
A maioria dos destinatários apaga. Uma pequena porcentagem paga. Para o atacante, essa porcentagem é mais que suficiente. O custo é quase zero, o pagamento é instantâneo e não deixa rastro.
Precisa de Ajuda Especializada?
Nossa equipe resolveu milhares de casos. Obtenha suporte confidencial agora.
30 minutos mudaram tudo
Nos primeiros 10 minutos da consultoria, rastreamos a senha até sua origem: o vazamento Collection #1 de 2019. Foi um dos maiores vazamentos de credenciais já registrados, com 773 milhões de endereços de e-mail e bilhões de senhas expostas em um único evento. A senha dele estava em uma lista da dark web havia anos.
O atacante nunca havia tocado em seus dispositivos. Apenas pegou um endereço de e-mail e a senha correspondente daquela lista e enviou a mesma mensagem para milhões de pessoas. O e-mail era um blefe. Completamente. Nenhum dispositivo havia sido acessado. Nenhum vídeo havia sido gravado. Nenhum vídeo jamais existiu.
Em seguida, configuramos 2FA em todas as suas contas críticas. Foi ativado um período de monitoração de vazamentos de 7 dias. Se algum novo sinal de ameaça aparecesse ligado ao e-mail dele, seria notificado imediatamente.
Quando tudo acabou
Ele não pagou nada. Nenhum vídeo foi a lugar nenhum porque nenhum existia. Fechou a tela de transferência e retirou o dinheiro da exchange.
Nove meses depois, uma verificação confirmou que tudo estava limpo. Contas seguras, sem novas ameaças, 2FA ativo.
Se você recebeu o mesmo e-mail
Esse e-mail chega a dezenas de milhares de pessoas todos os dias. Pelos EUA, Europa e por todos os cantos do mundo. Ver uma senha real na linha de assunto foi feito para te paralisar. Mas essa senha é prova de um vazamento de dados, não de invasão da câmera. São duas coisas muito diferentes.
O que você não deve fazer: não pague. Quem paga uma vez normalmente recebe uma segunda exigência. Você acabou de sinalizar que isso funciona com você. Não deixe o prazo de 48 horas te pressionar. É uma tática psicológica, não uma contagem real.
O que você deve fazer: não apague o e-mail, tire uma captura de tela. Acesse haveibeenpwned.com, digite seu e-mail e veja em segundos em quais vazamentos você aparece. Mude a senha em cada conta onde a usou. Configure 2FA.
Se ainda não tiver certeza, leve 5 minutos antes de pagar um centavo. Real ou blefe, te diremos imediatamente. Recebeu o mesmo e-mail? Verificação gratuita de 5 minutos antes de pagar um centavo: +1 (855) 853-2415
"Eu estava a 2 cliques de enviar o dinheiro. A Altahonos me mostrou em 30 minutos que tudo aquilo era um blefe. Dormi naquela noite pela primeira vez em dias."— Anônimo
Perguntas frequentes
Não. Senhas antigas são obtidas em vazamentos de dados, não invadindo seu dispositivo. Esses e-mails em massa incluem uma senha real para fazer a ameaça parecer pessoal e crível. É prova de um vazamento, não de invasão da câmera.
Vá a haveibeenpwned.com e digite seu e-mail. Em segundos você verá cada vazamento em que suas credenciais aparecem. É gratuito e seguro de usar.
Não. Provavelmente não existe nenhum vídeo. Pagar sinaliza que a tática funcionou com você, o que costuma gerar uma segunda exigência, em valor mais alto.
Não apague, tire uma captura de tela. Mude a senha em todas as contas onde a usou. Configure 2FA. Não pague. Se estiver em dúvida, ligue para nós antes de qualquer coisa. Verificação gratuita de 5 minutos: +1 (855) 853-2415
Sobre os Autores
Altahonos Team
A equipe Altahonos é formada por especialistas em segurança cibernética e gestão de reputação online com vasta experiência em mitigação de ameaças digitais e estratégias de remoção de conteúdo, ajudando indivíduos e empresas a proteger sua presença digital.