Las 3 Eses en un correo: Scam + Spam + Sextorsion

Siempre me ha llamado la atención los correos de Spam. Se han convertido en una constante a la que ignorar inconscientemente. ¿Pero qué hay detrás? Saber quién los envía, qué quieren conseguir y algunos de sus métodos rocambolescos me parecen dignos de estudio.

Dejando de lado el perfil delictivo de estos correos, las técnicas son similares a las de un funnel de ventas de un ecommerce. Intentan convencer paso a paso a un cliente/víctima. Lo imagino metafóricamente como el que va de pesca y debe preparar todos sus bártulos.

Revisando spam de mi bandeja de entrada me encontré con un correo que me llamó especialmente la atención. Combinaba todo lo malo que puede tener un mensaje de este estilo: scam, spam, y sextorsion.

Ya que hago alusión a estos tres términos voy a explicar rápidamente cada uno de ellos, por si no sabes qué son:

  • Scam: Término que referencia a estafas por medios electrónicos.
  • Spam: Correo electrónico que se envía a grandes listas de correo. De publicidad normalmente.
  • Sextorsion: Chantaje sexual a través de internet. Cuando alguien tiene imágenes o videos comprometidos de una persona y se le exige una remuneración para no hacer público los contenidos.

El contenido del correo spam

El correo está escrito en un inglés correcto. Lo recibí el 11 de enero de 2019 con un remite de iqfepaiz@v.com. Os pongo una transcripción del mismo:

I know ********** is one of your passwords. Lets get directly to the purpose. No one has paid me to investigate you. You may not know me and you're probably thinking why you are getting this mail? 

actually, i placed a software on the adult streaming (porn material) web-site and there's more, you visited this web site to have fun (you know what i mean). When you were viewing videos, your internet browser initiated operating as a Remote control Desktop with a keylogger which provided me accessibility to your screen and also web camera. immediately after that, my software program obtained every one of your contacts from your Messenger, FB, as well as e-mail . Next i made a video. 1st part displays the video you were watching (you have a good taste hahah), and 2nd part displays the recording of your web cam, yea it is u. 

You actually have 2 options. Why dont we understand these options in particulars: 

Very first option is to dismiss this message. as a result, i most certainly will send out your videotape to every one of your contacts and also just think concerning the embarrassment you can get. and definitely in case you are in an affair, precisely how it will affect? 

Number two choice is to give me USD 887. Lets think of it as a donation. in such a case, i most certainly will quickly remove your video footage. You will keep going on daily life like this never took place and you are never going to hear back again from me. 

You'll make the payment by Bi‌tco‌in (if you do not know this, search 'how to buy b‌itcoi‌n' in Google search engine). 

B‌T‌C‌ ad‌dre‌ss: 14cxPepKjJ8XR5k4u7jskJiqMH2vGFV5WY 

[CaSe-SeNSiTiVe, copy & paste it] 

in case you are thinking about going to the law, surely, this mail cannot be traced back to me. I have covered my actions. i am just not trying to ask you for money very much, i simply prefer to be rewarded. within this%} emai2vGFV5WY if i don't receive the ‌bi‌tco‌in‌, i will definately send your video recording to all of your contacts including membe rs of your family, colleagues, etc. Nonetheless, if i do get paid, i'll destroy the video right away. If you really want evidence, reply Yes then i will certainly send your video recording to your 13 contacts. This is a non:negotiable offer, and so don't waste mine time and yours by replying to this mail.

Traducción del correo

Para el que no sepa inglés, hago un breve resumen:

En un tono desenfadado el remitente afirma saber una de mis contraseñas y que nadie le ha pagado por investigarme. Dice haber puesto un software malicioso en una página web de contenidos para adultos y que me ha grabado «pasando un buen rato». Dice que un keylogger le ha dado acceso a mi webcam y a mis contactos del messenger y el facebook. Da a elegir entre dos opciones:

  1. Ignorar el correo, con lo que enviará el vídeo erótico a mis contactos.
  2. Pagar 887$ haciendo el pago en bitcoins a una dirección que ofrece.

Finalmente para despedirse advierte que ir a la ley es inútil porque no se le puede rastrear y que si recibe el pago eliminará el vídeo. De no ser así, lo enviará a mis 13 contactos.

Cómo monta el engaño

Voy a explicar como trata de elaborar la estafa, paso a paso.

Correo y contraseña

Lo primero para mandar spam es tener a quién mandarlo. Estas listas de correo pueden obtenerse de muchas formas. Rastreando la web mediante bots, robando listas de correo a páginas poco seguras que almacenan información de usuarios, listas públicas de correos, suscripciones…En fin, la lista es tan grande que habitualmente es complicado reconocer cómo tiene tu correo el emisor.

Con este correo en concreto sé que ha extraído mi email de Have I Been Pwned. Es una web que reune correos y contraseñas de múltiples servicios hackeados que han sufrido robo de información (imgur, taringa, bitly…). Sí, mi correo aparece entre la información robada. Lo sé porque dice conocer mi contraseña, la cual ni recordaba y debe coincidir con la que introduje en una de las webs hackeadas.

Uno de los primeros consejos que te puedo dar en cuestión de ciberseguridad es que no utilices la misma contraseña para registrarte en dos webs diferentes. Las razones son obvias, si tu correo/contraseña se hace público por una brecha de seguridad en un servicio, foro o red social, también tendrán las credenciales de los demás sitios en los que te hayas registrado.

Así pues, el emisor de este correo spam ha extraído los correos y contraseñas de estas listas de servicios hackeados.

La extorsión

Un engaño de este tipo es como un embudo de ventas en términos de marketing. La palabra «embudo» está muy bien escogida. En el caso de este correo el estafador tiene una lista de miles de correos-contraseñas y, mientras intenta convencer a sus víctimas, va perdiendo contactos (o leads) que se dan cuenta del timo.

Diría que una estrategia como esta tiene muchos puntos críticos y la «conversión» o número de gente engañada será bajísima. Piensa en todos los pasos donde el engañado no llegará a realizar el pago por diferentes motivos:

  • No sabe inglés.
  • Su proveedor de correo lo manda a spam y no lo llega a leer.
  • No visitan ese tipo de páginas.
  • No dispone de webcam.
  • No tiene tanto dinero.
  • No sabe comprar bitcoins.
  • No tiene contactos en redes sociales.
  • Tiene un mínimo de cultura digital y sabe que todo es mentira.

¿Está funcionando?

Lamentablemente sí. Ignoro qué conversión puede tener un engaño de este estilo. Por lanzarme a la piscina diría que un 1/50.000.

¿Eso significa que tiene que mandar cincuentamil correos para que engañar a uno solo? 😲 Es un cálculo a ojo de buen cubero pero sí, y lo peor es que una acción así compensa de sobra.

Si buscamos su dirección de bitcoins desde blockchain.com podemos ver las transacciones que ha tenido el estafador:

transacciones de la estafa
Ingresos en bitcoins de los estafados

A fecha 7 de febrero de 2019 ha recibido en total 3.009 BTC. Unos 8900€ al cambio. Uhm…puede ser que no todas esas transferencias sean de este engaño. Vamos a mirar con lupa.

En el correo pide 887$, que son unos 0.26BTC. Tiene unas 8 transferencias entrantes con cantidades similares. La cifra varía porque apuesto a que no a todos los correos spam que envía pide la misma cantidad, sino que hay cierta horquilla para así identificar de quien (o al menos de qué orda de correos) viene cada pago. También hay que contar con que la conversión dolares-bitcoins sube y baja.

Según le realizan los pagos el estafador transfiere los fondos a otra dirección, de la cual cambiará a otra moneda aún más irrastreable como Moneros. Y de ahí ya es imposible seguir la pista hasta que acabe en una cuenta bancaria o lo gaste en otro tipo de servicios que acepten pagos en btc.

Conclusión

Internet se ha convertido en una herramienta esencial en el día a día de muchas personas. Para no caer en un engaño similar es necesario tener un mínimo de cultura digital.

Para la mayoría de personas esta estafa se ve de lejos y es algo obvio, pero la realidad es que el engaño funciona, a las pruebas me remito. Cosas como saber a grandes rasgos qué puede y qué no puede hacer un cibercriminal te hará ser cauto y no caer en una estafa de este tipo. Y ante cualquier duda, pregunta a alguien que sepa más que tú.

Hay muchas formas de utilizar diferentes contraseñas para cada servicio en el que te registres en internet. Apréndetelas, apúntalas en un papel, tatúatelas, mándate un correo a ti mismo con cada una de ellas o utiliza un gestor de contraseñas como keepass. Los ciberataques están a la orden del día. Protege tu identidad.

¿Y a ti? ¿Te han mandado spam con un engaño similar?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *