Ny forskning visar att e-postbedragare som försöker utpressa sina offer genom att hota att släppa pinsamt eller olagligt material, ofta riktar in sig på färre än 10 e-postkonton åt gången. Och man ställer då måttliga betalningskrav på cirka 1 000 US dollar i bitcoin. Den taktiken kan hjälpa angripare att hålla sig under radarn och undvika att varna potentiella offer, säkerhetsteam och betalningssystem.
En grupp forskare vid Columbia University analyserade 300 000 e-postmeddelanden som identifierats som utpressningsförsök av Barracuda Networks AI-baserade detektorer. Det övergripande målet var att förstå vilken finansiell infrastruktur som angripare använder för utpressning där man hotar att exempelvis avslöja foton, filmer eller detaljer om olaglig onlineaktivitet om inte offret betalar – vanligtvis i en kryptovaluta som bitcoin.
Litet antal angripare står för majoriteten av attackerna
Forskarna på Columbia grupperade utpressningsmejlen efter adresserna i bitcoin-plånboken. Teamet hittade 3 000 unika bitcoin-plånboksadresser och av dessa dyker 100 plånböcker upp i 80 procent av mejlen. Det tyder på att ett relativt litet antal angripare var ansvariga för majoriteten av utpressningsmejlen.
– Studien är intressant då den sätter fingret på att vi i de flesta fall aldrig hör talas om det stora flertalet utpressningsattacker. Det som når oss via media är i allmänhet de stora angreppen som drabbar publika företag och statlig eller kommunal verksamhet. Vi kan också räkna med att cyberkriminella alltid väljer den taktik som fungerar bäst – och då blir det tydligt att utpressningsattacker ofta är mindre uppmärksammade än man kan tro, säger Peter Graymon, ansvarig för Barracuda Networks i Norden.
I studien tittade man också på e-postfältet "avsändare" för varje utpressningsmeddelande. Tesen var att en angripare skulle använda samma konto för alla e-postmeddelanden som distribueras i en enda attack, men att ett annat konto skulle användas för nästa attack. Teamet fann att 97 procent av avsändarkontona skickade ut färre än 10 mejl vardera och att 90 procent av attackerna krävde betalningar på mindre än 2 000 US dollar i bitcoin.
– De relativt blygsamma summorna gör det mer sannolikt att offren kommer att samarbeta med utpressarna. Det förhållandevis låga antalet e-postmeddelanden per avsändare gör det också lättare för angripare att undvika upptäckt med traditionell säkerhetsteknik och olika antibedrägeriåtgärder hos betalningsleverantörerna. Det innebär också att man undviker att väcka uppmärksamhet hos brottsbekämpande aktörer och media – vilket skulle varna potentiella offer för bluffen, säger Asaf Cidon, docent i elektroteknik vid Columbia University.