25 octubre 2018

Intento de chantaje y nuevo servidor


El chantaje (traducido al español)
¡Hola!
Soy un hacker que rompió tu correo electrónico y dispositivo hace unos meses. Ingresaste una contraseña en uno de los sitios web inseguros que visitaste y yo la intercepté. Esta es tu contraseña de tomas@bradanovic.cl en el momento del hack: ********** (aquí va mi password de esa cuenta)

Por supuesto que puedes cambiarlo, o ya lo has cambiado. Pero no importa, mi malware lo actualiza cada vez.

No intentes contactar conmigo ni encontrarme, es imposible, ya que te envié un correo electrónico desde tu propia cuenta.

A través de tu correo electrónico, cargué un código malicioso en tu sistema operativo. Guardé todos sus contactos con amigos, colegas, familiares y un historial completo de visitas a los recursos de Internet. También instalé un troyano en tu dispositivo y un largo espionaje de tu actividad.

Tú no eres mi única víctima, normalmente cierro las computadoras y pido un rescate. Pero me impresionaron los sitios de contenido íntimo que visitas con frecuencia.

¡Estoy en shock de tus fantasías! ¡Nunca he visto nada como esto!

Entonces, cuando te divertiste en sitios picantes (¡sabes lo que quiero decir!) Hice una captura de pantalla con el uso de mi programa desde la cámara de tu dispositivo. Después de eso, los combiné con el contenido del sitio que visitaste.

¡Habrá risas cuando envíe estas fotos a tus contactos! PERO estoy seguro de que no lo quieres.

Por lo tanto, espero tu pago por mi silencio. ¡Creo que US$ 836 es un precio aceptable para ello!

Paga con Bitcoin. Mi billetera BTC: 1JTtwbvmM7ymByxPYCByVYCwasjH49J3Vj

Si no sabes cómo hacerlo, ingresa en Google "cómo transferir dinero a una billetera de bitcoin". No es difícil. Después de recibir la cantidad especificada, todos tus datos serán destruidos inmediatamente de forma automática. Mi virus también se eliminará de tu sistema operativo.

Mi troyano tiene alerta automática, después de leer este correo electrónico, lo sabré.

Te doy 2 días (48 horas) para hacer el pago. ¡Si esto no sucede, todos tus contactos recibirán disparos locos de tu oscura vida secreta! Y para que no obstruyas, tu dispositivo será bloqueado (también después de 48 horas)

¡No seas tonto! La policía o los amigos no te ayudarán ...

PD. Puedo darte un consejo para el futuro. No ingreses tus contraseñas en sitios inseguros.

Espero tu prudencia. Me despido.(El mail original en raw se puede ver aquí)

Mi contestación (mejor no la traduzo)
HAHAHA
Ri-DI-CU-LOUS
You can put your finger into your shitty arse waiting for my money, it give me a fucking shit every stupid thing you said
fuck you, moron

¿Y como supo mi password?
Es bastante simple, seguramente lo escribí en un sitio inseguro como este


En cambio ete otro sitio si es seguro , tiene SSL como muestra el cndado verde al lado de la dirección web

Y justo el pinganilla ocioso que trató de chantajearme, lo estaba monitorando, pudo conseguirlo y así entrar a mi mail. Otra forma de conseguir los password es monitoreando el FTP (cuando lo usamos para subir archivos, manda los password en texto claro) o bien inyectando código malicioso en alguna base de datos de Wordpress, por ejemplo.

Todo lo que dice acerca del "virus", "troyano", etc. que supuestamente estaría monitoreando mi abundante actividad en siitios porno, son patrañas. Bueno, lo único cierto es que soy asiduo a esos sitios, pero que el tonto como este pueda haberme monitoreado es prácticamente imposible, puro cuento para tratar de sacarme plata. En todo caso si les llegan fotos "picantes" mías, no se preocupen y no reclamen que no les avisé.

Algunos consejos de seguridad
Mi sistema es más o menos así: tengo tres niveles de seguridad en contraseñas, para cuentas que no uso nunca o que no tienen problemas con la privacidad uso una contraseña muy sencilla e insegura -esa fue la que me interceptaron- y la uso a destajo, con descuido porque me da lo mismo si la conoce todo el mundo, de hecho muchas veces la comparto y varios de mis amigos la conocen.

El segundo nivel es para entrar a la configuración de mis equipos, a las cuentas de correo que uso regularmente, a Twitter, Facebook, al router y cosas así, para eso uso tres o cuatro contraseñas distintas que son bastante difíciles de saber, pero no imposibles, esas las tengo anotadas en un cuadernillo que tengo en un cajón del escritorio y el Tomás Jr las puede encontrar fácilmente en caso de apuro. Todas esas cuentas no guardan nada muy privado, pero me causaría algunos dolores de cabeza si alguien mal intencionado las tiene porque me podría suplantar, etc.

El tercer nivel es el de la contraseña segura, nunca la he escrito, la tengo en mi cabeza, es larga aunque fácil de memorizar para mi, creo que sería casi imposible de deducir buscando cosas que se relacionan conmigo. Tiene un nivel de seguridad muy fuerte. 

Las cosas que considero privadas las guardo con esa clave en un volumen encriptado de Truecrypt que está copiado en tres discos duros. Dos de esos discos los guardo en un cajón del escritorio, desconectados y el tercero lo tengo en un equipo viejo que tampoco está conectado a Internet. El volumen de Truecrypt nunca lo abro estando conectado y creo que eso me garantiza una privacidad bastante buena. Claro que tengo otros volúmenes encriptados en los equipos con Internet, pero contienen puras tonteras, porno y cosas así, nada importante. La cosa es que lo que es privado lo mantengo bastante seguro.

Protonmail
También tengo intalado el GPG para encriptar mensajes y gracias a un regular de acá encontré Protonmail, un correo que se ve muy seguro, encripta de punta a punta con un sistema transparente y muy cómodo. sus servidores están en suiza y Polonia, lo que los hace muy difíciles que los abran con orden judicial o algo parecido. En todo caso como hace años que no uso esos cosos para comunicarme, lo tengo solo activado por si alguna vez me hace falta. Nunca se sabe.

Un nuevo servidor
Todo esto me llevó a buscar un nuevo servidor para bradanovic.cl, que estuvo alojado por más de 10 años por mi buen amigo Logan Susnik. Mi natural avaricia me decía que tenía que encontrar las prestaciones máximas a un costo mínimo y mi techo de presupuesto eran US$ 20 por año. Busqué, busqué y busqué pero no encontraba, los servidores de ese precio tenían prestaciones muy limitadas, hasta quese me ocurrió buscar en eBay, donde encontré esta verdadera ganga



Tal como lo ven, un servidor full prestaciones a US$ 5.45 por 4 años. Lo tengo instalado y corriendo como seda. cambié para allá bradanovic.cl con lo que el idiota del cracker quedó marcando ocupado en mi servidor antiguo, más solo que un dedo. También instalé Wordpress para jugar un poco y experimentar con Learnpress, certificados SSH, etc. En fin, tengo de todo a precio bajísimo. Espero que cumplan con tenerlo funcionando por 4 años, parece muy bonito para ser cierto, pero veremos.

En fin, esa fue mi aventura de chantajeado. si reciben algunas fotos donde salgo yo ligero de ropa, con látigos o cosas por el estilo, ya saben de que se trata.


12 comentarios:

  1. Hola Tomas, Debo informarle que me llego fotos comprometedoras de usted, para ser mas claros la fotos tratan sobre usted trabajando;
    (la comision de la ociosidad esta considerando seriamente un castigo ejemplar) para que esto no vuelva a suceder
    Saludos Tomas
    Atte. Pedro
    PSTA: No se si reir o llorar

    ResponderBorrar
  2. Ah Pedro, puedo aparecer haciendo toda clase de degeneraciones, pero menos esa. Te lo puedo asegurar, nadie me ha visto trabajando al menos en los últimos diez años

    ResponderBorrar
  3. publiqué dos mensajes desde tor, nada que aparecen, google lo sigue manteniendo en la lista negra eterna. seguiremos usando protonmail, duckduckgo y tor, nada importante debe ir por google.

    ResponderBorrar
  4. google son los hacker mas malvados de toda la internet, me faltó eso en el mensaje anterior

    ResponderBorrar
  5. " ¡Estoy en shock de tus fantasías! ¡Nunca he visto nada como esto! " :-D

    Espero ansioso esos mensajes... ¿O ya no se puede confiar ni en los chantajistas?

    ResponderBorrar
  6. Tomas, últimamente hemos recibido casi una docena de correos de extorsión similares, aveces citando una clave que usaba para registrarme en algunos sitios, aveces no. Los primeros fueron escritos en Ingles, ahora vienen en Castellano también.

    No da ganas de revisar los correos, ya que todos los días recibimos algún intento de estafa.

    ResponderBorrar
  7. Anonimo-anonimous Proxy ;) Claro, nada importante debe ir por Internet, en principio la intimidad en Internet no existe y si alguien quiere hacer cosas con cierto grado de confidencialidad tendrá que esforzarse mucho. Claro que este mil que me llegó -como dice John- es más un intento de estafa que un "hackeo". Google es omnisapiente y yo creo que está bien, por eso es tan útil, aunque obvimente manipulado. Hace rato que sacaron "no evil" de su declaración de valores

    Wilson, he recibido multitud de reclamo de chicas que son regulares de este Templo del Ocio, ellas están indignadas porque todavía no reciben las fotos y videos con mis fantasías chocantes. Ahora me están exigiendo que se las mande directamente bajo amenaza de agresión física inminente.

    John, tal cual, es un intento de estafa tal como dices, es bueno publicarlo para evitar que haya gente que entre en pánico y caigan en el engaño. Además nos recuerda ser más cuidadosos en el uso de las contraseñas, aunque siempre exite la probabilidad que nos roben unas cuantas

    ResponderBorrar
  8. esto me recordó a los Scammers que siempre me llegan al correo, pero como los servidores ya conocen los patrones estructurales, los mandan directo a la bandeja de spam (dichos correos los borro sin leerlos)

    Este tipo de chantajes llega a ser burdo y ridículo, no hay que pescarlos, pero no falta el que cae redondito.

    ResponderBorrar
  9. ochocientos treinta y seis dólares americanos por no revelar los más oscuros secretos de uno?? Por Díos ! Ya quisiera yo tener una vida tan interesante que valga 800 dólares esconderla !
    Me da un poco de verguenza, pero creo ni diez dólares valdría eso en mi caso.
    Se me ocurre una nueva estafa: "Envieme tantos bitcoins a mi cuenta o todos sus contactos se enterarán que tras una intensa búsqueda resulta no tiene fantasías, obsesiones, secretos, vicios ni malos hábitos, no se le conoce amante, no espía a su pareja, ni tiene enemigos y en fin que se un zoquete desabrido aburridísimo en todos los aspectos" Uls

    ResponderBorrar
  10. Bueno, de momento no me ha llegado nada, pero seguro que tampoco debe ser más que lo que uno se pilla vagando por internet XD.

    ResponderBorrar
  11. Este tema me preocupa un poco, ahora que lo comentas. Yo ahora mismo hago todas mis operaciones bancarias por internet y me preocupa la seguridad de las mismas. ¿Qué opinas tú que se debe hacer para tener un nivel de seguridad aceptable? Lo de volver a las sucursales a hacer todo lo descarto, entre otras cosas porque ya hay muchas cosas que sólo se pueden hacer por Internet.

    ResponderBorrar
  12. José, está llno de scams, lo que hace creíble este es que te mandan tu password y al menos en esa cuenta, el malandrin puede tomar el control borrar, copiar, y lo peor, cambiar el password por otro de eél! Por eso yo me cambié de servidor ante qu el tipo se pusiera malo, Ahora debe estar con 2 km de cuello.

    Ulschmidt, no esperaba menos, los tipos serios como nosotros no tenemos nada que temer en absoluto: nos pueden poner cabeza abajo y nos sacuden y no encontrarán nada de lo que PODMOs avergonzarnos... Oh wait!...

    Frx, Adelino, el consejo es siempre el mismo: no tener una contraseña para todo, segentar la seguridad por niveles de importancia, usar contraseñas que no contengn información personal (nombres, teléfonos, número de la casa, año de nacimiento, etc.)

    Para los bancos no hay problema porue están razonablemente asegurados para eso. La autenticación en los bancos es generalmente de dos pasos, por ejemplo número PIN y tarjeta magnética RFID, o cartola con coordenadas para transferencias, ninguna de estas por si solas nos pone en riesgo. Hay que tener cuidado con los cajeros automátics porque hay una industria para clonar tarjetas allí. Internet es razonablemente segura pero no está libre de riesgos, sobre todo hay que informarse de las medidas básicas de seguridad, la myoría son simple sentido común

    ResponderBorrar

"Send me a postcard, drop me a line
Stating point of view
Indicate precisely what you mean to say
Yours sincerely, wasting away
Give me your answer, fill in a form
Mine for evermore
Will you still need me, will you still feed me
When I'm sixty-four"