Опасные скриншоты — Криптомошенничество в сервисе Lightshot

Мошенники расставили в сервисе Lightshot ловушку на излишне любопытных и жадных криптоинвесторов. Киберпреступники выманивают деньги у криптоинвесторов, используя известную особенность сервиса Lightshot. Мошенничество с криптовалютой, похоже, день ото дня набирает обороты. Совсем недавно мы рассказывали, как мошенники обманывали пользователей Discord, предлагая им несуществующие монеты на фальшивых биржах, освещая псевдовыигрыши на фейковых новостных сайтах и имитируя вертолетные деньги. И вот нам попалась новая схема, причем весьма оригинальная: злоумышленники используют публичный сервис для обмена скриншотами Lightshot, чтобы выманивать средства у излишне любопытных криптоинвесторов.

Опасные скриншоты - Криптомошенничество в сервисе Lightshot
Удобно — не значит безопасно
Сервис Lightshot служит для создания, обработки и быстрой передачи скриншотов. Он состоит из приложения для платформ Windows, macOS и Ubuntu и облачного портала prnt.sc. Пользователей привлекает в нем возможность быстро поделиться снимками экрана: изображение можно одним кликом или горячими клавишами отправить в облако, где оно будет опубликовано по уникальному адресу, который остается скопировать и отправить в любом мессенджере или по электронной почте.

В Lightshot можно зарегистрировать аккаунт, чтобы хранить историю своих загрузок.Однако по большому счету аккаунт для работы с сервисом не нужен: увидеть опубликованный скриншот может кто угодно без всякой аутентификации. Это быстро и удобно, но не очень безопасно, если речь идет об обмене хоть сколько-нибудь конфиденциальной информацией.

Более того, человеку даже не обязательно знать точную ссылку на скриншот, чтобы его увидеть: адреса формируются последовательно, так что если, к примеру, заменить в одном из них символ на следующий по порядку, то откроется другой снимок. Этот процесс даже можно автоматизировать: простой скрипт для перебора адресов и скачивания контента пишется буквально за пять минут.

Такая открытость — не баг, а вполне легитимное свойство сервиса. Его разработчики честно предупреждают: все загруженные изображения по умолчанию считаются публичными. Однако судя по тому, что утечки ценной информации через Lightshot регулярно попадают в новости, далеко не все внимательно читают пользовательское соглашение.

Как слить данные в Lightshot: вредные советы
«Подумаешь, какие-то там скриншоты попадут в общий доступ — кому вообще интересны мои рекорды в играх или шуточки из переписки с коллегами?» — скажете вы. Не торопитесь с выводами. Вот как минимум три сценария, по которым может себя задоксить любой пользователь Lightshot.

Допустим, сотрудник делает снимок интерфейса, чтобы ему помогли настроить рабочую программу. И все бы ничего, но под окном приложения оказывается открыта почта или документ с конфиденциальными сведениями. Или, например, человек решает поделиться с другом, которому доверяет как себе, потрясающе глупым письмом своего начальника или клиента, чтобы вместе посмеяться. Или некто решает похвастаться интимной перепиской, забыв замазать имена и адреса участников.

Если герои этих историй — как и многих им подобных — пользуются Lightshot, их могут поджидать серьезные проблемы. Интернет-хулиганы охотятся за откровенными фото ради развлечения, тролли вполне могут использовать свои находки для травли, а шантажисты — потребовать выкуп, угрожая показать переписку тому самому начальнику или второй половинке.

Впрочем, для тех, кто держит ценные данные вдали от чужих глаз и всегда проверяет, не попало ли на скриншот лишнее, зато не прочь посмотреть на чужие фейлы и секреты, на сервисе тоже найдутся сюрпризы.

Ловушка для умников
Схема мошенников по-своему изящна. Преступники размещают на портале Lightshot скриншоты с данными якобы для доступа к криптокошельку. Легенды разнятся от случая к случаю. Иногда «участники переписки» якобы намеренно делятся учеткой с собеседником: мы встречали снимки, замаскированные под просьбу помочь с криптокошельком или предсмертные записки.

Опасные скриншоты - Криптомошенничество в сервисе Lightshot
Мошенники маскируют учетные данные для аккаунтов на поддельных криптобиржах под скриншоты из переписки
Иногда «данные для входа» попадают в сервис как будто случайно, по невнимательности, — например, мы видели скриншоты, оформленные как письма для восстановления пароля от криптокошелька.

Опасные скриншоты - Криптомошенничество в сервисе Lightshot
Фальшивые письма о сбросе пароля для аккаунта на не менее фальшивых криптовалютных биржах
Если в погоне за легкой наживой пользователь переходит по адресу, указанному на скриншоте, его встречает сайт, выдающий себя за криптобиржу. После ввода учетных данных он попадает в аккаунт, где якобы лежит внушительная сумма в криптовалюте — скажем, 0,8 BTC (около 3,5 миллиона рублей на момент написания). Мошенники рассчитывают, что на этом этапе человек поддастся соблазну и попробует вывести чужие средства на свой счет.

В этом случае биржа запрашивает «комиссию» — сущие копейки по сравнению с полной суммой. Если оплатить комиссию, то… ничего не происходит, разве что эти «копейки» перетекают в карман мошенников. Копейки, конечно, относительные: речь идет о комиссии порядка 0,001–0,0015 BTC, что по нынешнему курсу составляет примерно 4–6 тысяч рублей.

Судя по всему, схема неплохо работает: на момент написания поста в кошельке, куда поступают «комиссии», было суммарно переведено около 0,1 BTC — примерно 450 тысяч рублей.

Как не слить данные и сохранить деньги
Удобство совсем не значит безопасность или приватность, часто даже наоборот. И Lightshot — яркий тому пример. Вот несколько советов по безопасной работе со скриншотами:

Перед установкой Lightshot подумайте, действительно ли вы хотите для пересылки скриншотов публиковать их в общем доступе. Если все же решите использовать сервис, помните, что конфиденциальная информация — банковские данные, пароли к онлайн-ресурсам и прочие сведения лично о вас — желанная добыча для преступников. Не пересылайте ее через Lightshot, пользуйтесь защищенными каналами, а еще лучше — не делитесь ей вовсе.

Если вы уже пользовались Lightshot и теперь вспомнили, что отправляли туда чувствительную информацию, поищите в переписке адрес страницы со скриншотом, зайдите на нее и нажмите «Пожаловаться» или отправьте запрос на адрес [email protected].

Помните, что существуют штатные средства для создания скриншотов: «Ножницы» в Windows и сочетания клавиш Cmd+Shift+3 или Cmd+Shift+4 на macOS. Возможно, для ваших целей их будет достаточно.

Вряд ли вы захотите выводить чужую криптовалюту на свой счет, но даже из любопытства заходить в чужие аккаунты мы не рекомендуем. А чтобы случайно не подарить преступникам логин и пароль от своего, введя их на фишинговом сайте, используйте надежное защитное решение, которое предупредит вас, если вдруг зайдете на подозрительную страницу.

Источник

 

Источник

1, 1

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Смотрите также

  • Россия на пороге дефолта по государственным обязательствам —
    Сегодня, 16 марта Минфину предстоит погасить купоны на 117 млн долл, а 4 апреля номинал на 2 млрд долл. Если западные инвесторы не примут условия Минфина России по выплате купона, то 15 апреля будет технический дефолт, а 4 мая «полный» дефолт. Внешний государственный долг России 59.5 млрд долл, однако 18.7 …
  • Байден даст еще денег большой фарме за противовирусные таблеткиБайден даст еще денег большой фарме за противовирусные таблетки
    Администрация Байдена теперь инвестирует 3,2 миллиарда долларов в противовирусные таблетки Covid-19. NBC пишет:«План, получивший название «Противовирусная программа против пандемий», будет стимулировать клинические испытания и производство перспективных препаратов для лечения Covid-19 с целью получения разрешения от Управления по контролю за продуктами и лекарствами для некоторых противовирусных препаратов и предоставления их общественности …
  • Мигрантская черная касса — 1,5 года и — жилье в России
    Диаспоры и семейные кубышки помогают гастарбайтерам приобретать квартиры, машины и бизнес. Мигранты из стран СНГ могут купить квартиру в России без ипотеки и крупных кредитов за счет общей или «черной кассы», сформированной сотнями земляков и десятками родственников. За счет высокого уровня взаимопомощи внутри общины переселенцы в Россию способны не только …
  • Цены на газ в Европе
    Не затрагивая причины всей этой безумной вакханалии на энергетических рынках, при какой цене газа станет выгоднее вырабатывать энергию из нефти? )) В каждой стране свои единицы измерения для реализации газа. В США и Великобритании обычно в миллионах БТЕ, в Европе чаще измеряют в мегаваттах, в России и странах СНГ в …
  • Мигрантская черная касса — 1,5 года и — жилье в России
    Диаспоры и семейные кубышки помогают гастарбайтерам приобретать квартиры, машины и бизнес. Мигранты из стран СНГ могут купить квартиру в России без ипотеки и крупных кредитов за счет общей или «черной кассы», сформированной сотнями земляков и десятками родственников. За счет высокого уровня взаимопомощи внутри общины переселенцы в Россию способны не только …