Criminelen achter porno-afpersing misbruiken mail Ziggo en KPN

Cybercriminelen misbruiken de e-maildiensten van Ziggo en KPN om afpersingsmails rond te sturen. In het bericht, dat afkomstig lijkt van het slachtoffer zelf, staat dat zijn computer is gehackt en dat er een video is gemaakt waarop hij zichzelf bevredigt.

Het filmpje zou stiekem zijn opgenomen terwijl het slachtoffer een pornowebsite bezoekt. Als de ontvanger niet binnen één dag 1000 euro losgeld in bitcoin betaalt, zeggen de afpersers dat de video naar al zijn of haar contacten wordt gestuurd.

Het is onduidelijk hoeveel Nederlanders deze e-mail hebben ontvangen, maar het lijkt een groot aantal te zijn. Fraudehelpdesk zegt de afgelopen weken duizenden meldingen over deze afpersingsmail te hebben gehad. 

Afpersingsmail

De afpersingsmail, die al maanden wordt rondgestuurd en nep is, wordt sinds kort op een nieuwe manier verspreid. Het lijkt nu alsof de verzender van de e-mail ook de ontvanger is, waardoor slachtoffers denken dat hun mailaccount is gehackt. Dit moet hen ervan overtuigen om toch het losgeld te betalen.

Zo ziet de afpersingsmail eruit

Hallo,

Ik hou je al een tijdje in de gaten omdat ik je gehackt heb door middel van een trojan virus in een advertentie op een porno website. Indien je hier niet bekend mee bent zal ik dit even toelichten. Een trojan virus geeft je de volledige toegang en controle over een computer, of elk ander apparaat. Dit houd in dat ik alles op je scherm kan zien en je camera en microfoon kan inschakelen zonder dat jij hiervan op de hoogte bent.

Zo heb ik ook toegang gekregen tot al je contactpersonen. Ik heb een video gemaakt waarop te zien is hoe jij jezelf bevredigt op de linker helft van het scherm en op de rechter helft zie je de video waar jij naar keek. Met een druk op de knop kan ik deze video doorsturen naar alle contactpersonen van je email en social media. Als je dit wil voorkomen maak je een bedrag van 1000 euro over naar mijn bitcoin adres (Als je dat niet weet, zoek met Google "Bitcoin kopen".) Bitcoin adres: xxxxxxxxxxxx

Zodra de betaling binnen is wis ik de video en hoor je nooit meer van mij. Ik geef je 72 uur de tijd om de betaling over te maken. Daarna weet je wat er gebeurt. Ik kan het zien als je de email hebt gelezen.

De criminelen gebruiken hier een technologie voor die 'spoofing' heet. Een goed ingestelde e-maildienst controleert normaal of de afzender ook de daadwerkelijke afzender is. Als dat niet het geval is, wordt de e-mail naar de spamfolder verplaatst of volledig geblokkeerd. 

Ziggo en KPN controleren ook of e-mails daadwerkelijk van de afzender komen, maar zorgen er dan niet voor dat de mails in de spamfolder komen of worden geblokkeerd. Hierdoor krijgen gebruikers van onder andere @ziggo.nl, @planet.nl, @home.nl, @casema.nl, @chello.nl en @upcmail.nl het bericht direct in hun inbox.

Streng kijken

"We zien dat criminelen op dit moment gretig gebruikmaken van een configuratiefout die ervoor zorgt dat ze een mail kunnen sturen uit jouw naam die ook in jouw mailbox terecht komt", vertelt Frank Groenewegen van cybersecuritybedrijf Fox-IT. "Normaal moet een mailserver controleren dat een mail daadwerkelijk van jou komt voordat hij hem aflevert. Providers moeten heel streng naar hun instellingen kijken zodat dit in de toekomst niet meer gebeurt."

Daar is Marco Davids, onderzoeker bij Stichting Internet Domeinregistratie Nederland (SIDN), het mee eens: "Als de e-mailserver van je provider goed is ingesteld, worden deze mails eruit gefilterd. Partijen als Google en Microsoft hebben dit wel op orde, en maken ook gebruik van andere slimme systemen om nepmails eruit te filteren."

Even schrikken

Ook Annemieke ontving deze afpersingsmail, afkomstig van haar eigen adres. "Daar schrok ik wel van. Niet van de inhoud, want ik wist dat ze geen filmpje van me hadden, maar het baarde mij wel zorgen dat het leek alsof de e-mail vanaf mijn eigen adres was verzonden. Ik krijg vaker spammailtjes en kijk dan altijd naar de afzender, en het is dan wel even schrikken als daar je eigen mailadres staat."

Ook Davids ontving opvallend veel bezorgde reacties op deze afpersingsmail: "Mensen schrikken als ze door middel van spoofing een e-mail van zichzelf lijken te krijgen. Tegelijkertijd is spoofing voor criminelen echt een fluitje van een cent." 

Encryptie, updaten en back-uppen: zo maak je jouw telefoon veiliger

Losgeld

Verschillende slachtoffers hebben al losgeld betaald, blijkt uit een analyse van de aan de afpersingsmail gekoppelde Bitcoin-adressen. Het zou in totaal gaan om tienduizenden euro's. De laatste dagen hebben ook nog verschillende slachtoffers het losgeld betaald.

Eerder plaatsten de criminelen gelekte en veelal verouderde wachtwoorden in de afpersingsmail om mensen ervan te overtuigen dat ze zijn gehackt. Deze wachtwoorden worden opgezocht via zoekmachines die speciaal zijn gemaakt om door gelekte wachtwoorden te grasduinen.

Veel bedrijven hebben de instellingen van hun e-mail niet goed op orde, legt Davids uit. "Zodra je de instellingen te strikt maakt, kunnen normale e-mailtjes per ongeluk in de spambox komen. Bedrijven zijn daarom geneigd om hun e-mail wat minder strikt in te stellen. Of ze hebben door bijvoorbeeld onwetendheid helemaal niets ingesteld."

Niet betalen en weggooien

Zowel Ziggo als KPN zeggen in een reactie tegen RTL Nieuws dat het lastig is om strikte mailinstellingen te hanteren omdat er dan in sommige gevallen ook legitieme mails niet meer aankomen of kunnen worden verstuurd. Ziggo stelt aan een 'strikter beleid' te werken om spoofing tegen te gaan, KPN is bezig om het filteren op te voeren waardoor 'op termijn' ook gespoofde mailtjes worden tegengehouden. 

Het advies van experts luidt: niet betalen en de e-mail weggooien. Maar Groenewegen vindt het wel begrijpelijk dat veel mensen van de afpersingsmail schrikken: "Als je een mailtje krijgt dat van jou afkomstig lijkt en daarin ook vertellen dat ze je hebben gehackt, dan denken heel veel mensen ook dat dit het geval is."

Dit kun je doen tegen 'spoofing'

Als je een eigen webdomein of -server beheert, kun je drie instellingen toevoegen om spoofing te voorkomen:

SPF vertelt of de verzender namens het e-mailadres een mail mag sturen. De ontvangende partij controleert dit en bepaalt of de mail wordt geblokkeerd of wordt doorgelaten.

DKIM ondertekent je e-mails met een digitale handtekening waarmee de ontvanger weet dat de mail door de bijbehorende mailserver is verzonden.

DMARC bepaalt wat er zou moeten gebeuren met e-mails die niet voldoen aan de SPF- en DKIM-voorwaarden.

Op internet.nl zijn deze instellingen te controleren.