• 發布單位:TWCERT/CC
• 更新日期:2020-05-26
• 點閱次數:500

本中心近期接獲通報，表示收到有人掌握其硬碟檔案並要求於48小時內支付500美金之恐嚇信，經本中心查找與比對信件內容及比特幣錢包SiteKey等特徵，發現10月15日網路上亦有相同案例，如圖所示，認定為發信者未真正掌握受害人檔案系統之詐騙事件，提醒民眾勿匯款。

本中心近期接獲通報，表示收到有人掌握其硬碟檔案並要求於48小時內支付500美金之恐嚇信，經本中心查找與比對信件內容及比特幣錢包SiteKey等特徵，發現10月15日網路上亦有相同案例，如圖所示，認定為發信者未真正掌握受害人檔案系統之詐騙事件，提醒民眾勿匯款。

信件特徵：
1.信件開頭以"my nickname in darknet is XXXX", XXXX可能隨機更換。

2.信件內容表示對方已掌握帳戶密碼、瀏覽器歷史紀錄等資料，並取得您的所有通聯記錄、硬碟資料與照片。

3.要求48小時內支付500美元的比特幣至指定的帳戶。

TWCERT/CC提供以下防護建議：
1.密碼建議使用12個字元以上且英文、數字、符號混合。
2.應避免多個服務使用同一組密碼，以免遭到撞庫攻擊(說明如註解)。
3.收到電子郵件不任意開啟信件之附件或網路連結，以避免遭植入惡意程式竊取資訊。
4.確實持續更新電腦的作業系統、Office應用程式等至最新版本。
5.更新電腦防毒軟體病毒碼。

註解：什麼是撞庫攻擊?
人們與網路服務連結越來越深，各大網路都有帳號跟密碼資訊，但人們可能難以依據資安建議，一個服務用一個獨一的密碼，常是好幾個不同服務，所輸入的帳號密碼組合一樣，免得帳密常常忘記，得時常重設。人類的記性不足以及惰性，給予駭客可趁之機。只要取得某次服務帳密外洩的資料庫，賭一把看看其他服務是不是採用一樣的帳密，嘗試登入看看，不必用暴力破解法多次嘗試，就可合法登入受害者系統或服務。

參考連結：

https://malwaretips.com/threads/email-received-from-supposed-darknet-hacker.87366/
https://productforums.google.com/forum/#
https://www.scamwarners.com/forum/viewtopic.php?f=9&p=374862