FIKK UTPRESSING: Tor Henning Ueland fikk denne e-posten. Den starter med et passord som en gang var reelt, og videre hevder de å ha filmet et besøk på et pornonettsted. Alt unntatt passordet er bare tull. Foto: Ole Petter Baugerød Stokke
FIKK UTPRESSING: Tor Henning Ueland fikk denne e-posten. Den starter med et passord som en gang var reelt, og videre hevder de å ha filmet et besøk på et pornonettsted. Alt unntatt passordet er bare tull. Foto: Ole Petter Baugerød StokkeVis mer

Svindel-e-post truer med å sende porno til venner og familie

Viser deg passordet ditt, sier de har filmet deg mens du så på porno

Kriminelle ville få sikkerhetsekspert til å betale dem 10.000 kroner. - Folk blir ekstra skremt, tror Norsis.

- Folk faller for dette. Ellers hadde de ikke sendt det, forteller Tor Henning Ueland.

Ueland jobber som seniorutvikler i Aller, med fokus på sikkerhet, og viser oss e-posten han mottok.

«Jeg vet at (...) er passordet ditt» starter e-posten med.

Videre hevder de å ha installert skadevare på et pornonettsted, og derfra brutt seg inn på Uelands maskin. Svindlerne hevder å ha filmet ham gjennom webkameraet, og lastet ned alle kontaktene hans.

Om ikke Ueland betaler dem 1.200 dollar i løpet av ett døgn, skal de sende filmen av både han og pornografien til venner og familie.

Passordet er, eller riktigere sagt var, reelt. Men resten av e-posten er bare tull.

Bruker ekte passord

- Passordet de oppgir er et passord jeg brukte for rundt 10 år tilbake, sier Ueland.

Passordene i e-postene som sendes ut er altså ikke tilfeldige, selv om de ikke nødvendigvis vil være i bruk for alle som mottar dem.

Det kan uansett være nok til å skremme enkelte mottakere til å tro at de faktisk er «hacket», men Ueland vet bedre.

- Du må regne med at passordene dine havner på avveie. Det er grunnen til at du aldri skal bruke samme passord på flere tjenester, forteller seniorutvikleren.

Artikkelen fortsetter under annonsen

VET HVA HAN GJØR: Tor Henning Ueland kan sikkerhet, så han så raskt at e-posten bare var tull. Men metoden kan skremme, og lure, mange andre. Foto: Ole Petter Baugerød Stokke
VET HVA HAN GJØR: Tor Henning Ueland kan sikkerhet, så han så raskt at e-posten bare var tull. Men metoden kan skremme, og lure, mange andre. Foto: Ole Petter Baugerød Stokke Vis mer

Passord er enkle å finne

På få sekunder søker Ueland opp vår egen e-postadresse i en database på over 1,4 milliarder brukernavn og passord.

Slike databaser settes ofte sammen av data fra flere lekkasjer og innbrudd hos store tjenester. Og i databasen han bruker finner han flere av våre egne passord på avveie.

SJEKK SELV: På blant annet Haveibeenpwned.com kan du skrive inn e-postadressen din, og se om du er rammet av et datainnbrudd. Her vil du ikke få se passordene dine i klartekst, men det kan de som sitter på databasene. Foto: Ole Petter Baugerød Stokke
SJEKK SELV: På blant annet Haveibeenpwned.com kan du skrive inn e-postadressen din, og se om du er rammet av et datainnbrudd. Her vil du ikke få se passordene dine i klartekst, men det kan de som sitter på databasene. Foto: Ole Petter Baugerød Stokke Vis mer

At noen har passordet ditt betyr altså ikke at du er «hacket». E-posten er trolig bare sendt ut til et enormt antall adresser fra slike databaser, med passordet de finner tilknyttet den aktuelle e-postadressen.

Resten av e-posten Ueland mottok er med andre ord bare oppspinn: Ingen har brutt seg inn på maskinen, ingen har filmet, og det er ingen grunn til å betale.

- Dette er nok bare en ny og kreativ måte å overbevise folk på, sier seniorrådgiver Vidar Sandland i Norsis til Dinside.

Troverdighet og frykt

Sandland forklarer at de kriminelle skaper en troverdighet ved å vise deg at de har både passordet ditt og e-post-adressen din.

Da er veien kortere til å tro at de kanskje også har filmet deg, og har det de trenger for å sende filmen til venner og familie.

- Du blir ekstra skremt, også kobler de det mot porno. Veldig mange ser på porno, og vil tenke «shit, jeg har jo akkurat sett på porno!». Da vil alt stemme, og sjansen for at man blir lurt øker, forteller Sandland.

Det samme trikset ser vi blant annet med skattesvindel: Venter man på en e-post fra Skatteetaten, er det større sjanse for å bli lurt av en falsk e-post fra Skatteetaten.

TO RÅD: Vidar Sandland i Norsis råder deg til å ikke betale, og ta en runde på hvor flink du er med passord og tofaktor-innlogging. Foto: Øistein Norum Monsen / DAGBLADET
TO RÅD: Vidar Sandland i Norsis råder deg til å ikke betale, og ta en runde på hvor flink du er med passord og tofaktor-innlogging. Foto: Øistein Norum Monsen / DAGBLADET Vis mer

Dette bør du gjøre

Flere vil motta e-posten Ueland fikk. Slikt sendes i stort volum for å være sikre på at noen går på limpinnen, og rapporter om andre som har mottatt den samme e-posten kommer blant annet på Reddit.

Også den kjente sikkerhetsbloggeren Brian Krebs omtalte nylig e-posten, som han kaller en «sextortion scam».

- Men de har ikke tilgang på PC-en din, og vårt råd er som vanlig å ikke betale. Ikke start en dialog med dem, engang, råder Sandland i Norsis.

Det du derimot kan gjøre, er å tenke over passordene dine. For å se sitt eget passord i klartekst på denne måten kan være en øyeåpner.

Ha ulike passord på ulike tjenester, og kanskje enda viktigere: Bruk tofaktor-innlogging på alle tjenester som tilbyr det. For som også Sandland påpeker:

- Passordet ditt kommer på avveie. Du vet bare ikke når og hvor.

(Ueland jobber i Aller, som eier blant annet Dinside.)

.