Opublikowano 23. grudnia 2018r. 
Wcześniej w tym miesiącu, przeglądając moją pocztę elektroniczną, zobaczyłem w folderze SPAM wiadomość o temacie, w tłumaczeniu z angielskiego. „Twój adres mailowy został zhakowany”. Stara szkoła mówi, by podejrzanych wiadomości nawet nie otwierać, ale czasem lubię żyć na krawędzi i mejla otworzyłem.
W nim bełkot, że pewnego pięknego dnia pewien pr0 el0 hakier włamał się na mojego routera i uzyskał dostęp do mojego komputera, a z niego wyciągnął historię przeglądania, korespondencji i oczywiście głęboko ukryte filmy porno. Stwierdził, że jestem zboczeńcem i postanowił podejrzeć mnie na kamerce, gdy oglądam filmy i rozesłać to do moich znajomych. Bla, bla, bla… Zapłać, a nikomu nic nie powiem. Słowo honoru hakera. Czas upływa.
Po przeczytaniu takiej treści nie miałem wątpliwości, że wiadomość została słusznie oznaczona jako śmieć. Była jednak jedna rzecz, która sprawiła, że była choć trochę wiarygodna. Hakier stwierdził, że przejął kontrolę nad moim adresem e-mail <tu adres>, a hasło to <hasło>.
Podane przez niego hasło prawdopodobnie nigdy nie było używane do zabezpieczenia mojej skrzynki pocztowej, chociaż było jednym z wielu, które używałem na innych stronach internetowych. Gdybym więc, jak duża część społeczeństwa, używał jednego hasła do wszystkich stron internetowych (z logowaniem do banku na czele!) byłbym teraz pozamiatany. „Odgadnięcie” hasła, choć nie do konkretnego przypadku, mimo wszystko mnie zmartwiło. Za poradami Gudia, zacząłem wyszukiwać mojego hasła poprzez wyszukiwarkę – bez skutków. Z kolei strona haveibeenpwned prowadzi „tylko” do wycieku z imgur oraz dailymotion dla drugiego adresu mejlowego. Wycieki te były już dosyć dawno, więc dziwne, że dopiero teraz ktoś użył tych danych do osiągnięcia korzyści majątkowych.
Oczywiście nie byłem jedynym adresatem tej wiadomości, jak przeczytacie np. tu (fajnie, że można zgłaszać oszustwa kryptowalut, ale czy coś to daje?). Szantażysta żądał zapłaty w bitcoinach (nie za bardzo rozumiem, czemu okup ma być płacony w walucie, o której przeciętny użytkownik internetu co najwyżej słyszał?). W sumie otrzymałem od trzech różnych hakierów takowe żądania (ale tylko jeden „udowodnił”, że ma hasło), na trzy różne portfele bitcoinowe, z czego jeden był specjalnie dla mnie. Suma wpłat na te trzy portfele wynosiła prawie 6,2 BTC. Kryptowaluty są bardzo niestabilne w wycenie, ale przyjmując minimum w zeszłym miesiącu, tj. ok. 12 000 zł za 1 BTC otrzymujemy kwotę prawie 75 000 zł! Czyli innymi słowy – fortel się udał.
Pytanie do Was – jak polecacie zabezpieczyć się na przyszłość? Wiem, że idealnie byłoby stosować dla każdej strony losowe hasło, zapisane w jakimś menadżerze haseł, ale co w przypadku, gdy będziemy musieli zalogować się poza domem?
Ja jakiś czas temu miałem na poczcie spam, że idzie do mnie jakaś paczka (oczywiście nic nie zamawiałem, w samej wiadomości też nie ma żadnych moich danych poza mailem) i żebym tam zweryfikował blablabla, no ale dalej – jest niżej odnośnik, też od nich, wyglądający mocno amatorsko, że jeśli nic nie zamawiałem to żebym tu kliknął. Domyślam się, że sporo osób klika, ale jak pewnie się domyślacie to tam jest ten główny scamerski link. Nie to żebym sprawdzał samemu, ale mam poczucie zakrawające o pewność, że pewnie tak jest. To trochę jak z metodą na policjanta – że ci wbija jakiś i mówi że jesteś potencjalną ofiarą oszustwa i ej weź zrobimy prowo. No to tak nie ma ;d
Ogólnie z różnymi oszustwami miałem już do czynienia, chociażby jak składałem raz o pracę i w mailu dostałem odpowiedź żebym założył konto w banku (jakbym swojego nie miał, ale niby potrzebne oddzielne do przelewania środków) konkretnie przez ich link i on też nie wyglądał jakoś mocno legit. Podziękowałem i tyle kontaktu. Później wpisałem w Google, a ta firma nawet nie ma siedziby, a samo ogłoszenie lata po różnych serwisach w całym kraju od morza po góry.
Generalnie nie ma jednego sposobu na zabezpieczenia. Dużo daje otwarta głowa, generalnie ostrożność z newralgicznymi danymi (chociaż też nie popadając w paranoje), mieć jednak te inne hasła w miarę możliwości i umożliwiać sobie różne sposoby ich odzyskiwania, mieć więcej maili etc. Ja mam może też farta po prostu, że żadne moje hasło nie wyciekło póki co. Odpukać
Wgl mała dygresja jeszcze. Większość oszustów, których niby wiadomości wyglądają tak bardzo legit to też bujda na zasadzie pomyśl jakąś liczbę, odejmij 7, dodaj 7 i wow, wyszła ta sama liczba. Nie jest niczym dziwnym że ktoś ci podaje w mailu twój.. mail, bo w końcu na niego pisze, czy nawet adres ip, który coraz częściej jest nieco jawny mimo tego całego gadania o RODO. Z resztą, po nim też aż tak wiele się nie zrobi, tak samo jak jeszcze kilku innych rzeczach.