比特币六曲诈骗的利润丰厚的业务（更新）

更新（2019-09-04）：一个新的六十尾师电子邮件，声称起源于一群名为Chaoscc的黑客 - 一个在合法的欧洲白帽黑客社区中扮演，混沌电脑俱乐部（CCC）- 最近引起了安全世界的关注。以下是我们在蜜罐中捕获的示例电子邮件。

报告比特币地址，1 ke1eqyklpzlwq3bhrz2g1mhh5nws2trk就在上周，该公司从8月底开始涌入比特币滥用网站。截至撰写本文时，该地址总共收到了价值约2500美元的比特币。

---

经过一段平静期后，在2018年底激增2019年初，在线敲诈勒索计划被称为担任骗局回到雷达和在上升．

根据来自数字阴影的报告是一家以英国领先的网络安全公司监测对企业的潜在威胁，有几个资源可用于使新手犯罪分子陷入勒索的寿命。这些资源包括：访问从过去的违规，工具和技术泄露的凭据，帮助创建活动，从在线勒索者培训，以及存在的DIY敲诈指南暗网．

报告还发现，如果他们能够勾勒出高收入目标，如医生，律师或公司高管 - 可以通过彻底冲洗联系方式或其他社交媒体账户收集的信息，这些删除勒索者和同谋会以高赚取的目标（如医生，律师或公司高管）为激励．

有了许多从互联网用户身上榨取钱财的创造性方法，高额支付的高潜力，以及许多职业罪犯的帮助，我们不应该期望在线勒索诈骗在短期内(永久)停止。问问尼日利亚王子他的退休程度如何发展。

为了探究是什么促使威胁演员采用性敲诈诈骗作为犯罪手段的一部分，我们做了所有优秀侦探在破案时都会做的事情:跟踪钱。来看看我们从一场性勒索活动开始的追踪中发现了什么。

垃圾邮件

我们确定了一些正在实施的比特币性敲诈计划，但在这篇文章中，我们着眼于其最常见的分布形式:电子邮件垃圾邮件。

此电子邮件的全文读取：

嗨，这个账号现在被黑了!马上更改你的密码!
你没有听说过我，你可能不会因为你读这封信的原因而感到惊讶，是对吗？
我是不久前入侵你邮箱和设备的黑客。
你不应该试图联系我或试图找到我，这是没有希望的，因为我用你的账户发送了这条消息，我黑了。
我在成人视频(色情)网站上设置了一个特别的程序，我猜你喜欢这个网站是为了度过一段美好的时光(你明白我的意思)。
当你看视频时，你的网络浏览器开始像一个RDP(远程控制)，它有一个键盘记录器，允许我访问你的桌面和网络摄像头。
因此，我的SoftwayObtainedAll信息。
你在你访问的在线资源上输入了密码，我已经发现了。
当然，您可能会更改它们，或者已经更改了它们。
但没关系，我的恶意软件每次更新都需要数据。
我到底做了什么?
我备份了你的每个系统。所有的档案和个人联系
我形成了双屏录像。第一个屏幕展示了你正在观看的电影(你很有品味，哈哈……)，第二个屏幕显示了你的网络摄像头拍摄的电影。
你应该怎么做?
伟大的，在我看来，1000美元将是您的小秘密的合理价格。您将通过比特币进行存款（如果您不承认这一点，请在谷歌中搜索“如何购买比特币”）。
我的比特币钱包地址：
163qcnngcpxk7njkbu3ggtxdhi74ycqzk.
(大小写敏感，复制粘贴即可)。
警告:
您有2天才能执行付款。（我对此电子邮件有一个独家的像素，现在我明白您已阅读此电子邮件）。
为了监控信的阅读和行为，我安装了一个Facebook像素。感谢他们。(任何供当局使用的东西都可能帮助我们。)

在我没有获得比特币的情况下，我无疑将为您的每张联系人提供您的视频文件，包括亲戚，同事，等等？

这种垃圾邮件有很多变体，但它们都遵循一个类似的模板:我们已经黑掉了你的账户，我们有你访问色情网站和观看色情内容的视频证据，现在我们要求支付费用，否则我们将向公众发布你的视频。事实上，思科的塔洛斯安全情报与研究小组能够检索到电子邮件垃圾邮件模板他们说，是勒索者误发给了他们的目标。

这电子前沿基金会（EFF）还保存着比特币性敲诈信息变体的更新记录，你可以查阅这些信息这篇博客．

在我们调查这笔钱的时候，我们需要的唯一相关信息就是勒索邮件里的比特币地址，在这个案子里163qcnngcpxk7njkbu3ggtxdhi74ycqzk.．这是我们的起点。

调查

为了更好地了解我们调查的下一步，读者应该首先掌握基础知识如何cryptocurrency和区块链工作。

纸币和硬币是真正的，物质世界，作为数字货币是在线，电子世界。

比特币是在线提供的数以万计的数字货币。具体而言，它是一种虚拟货币 - 因为它由其创建者控制并由虚拟社区使用并由虚拟社区使用 - 以及同时加密 - 因为它使用强加密算法和加密方案来确保其对伪造和密码分析的抵抗力。

区块链，顾名思义，是连接在一起形成链的数据块的集合。这个通常被比作账本的系统被几种加密货币使用，比特币就是其中之一。链中的每个区块都包含多个交易的信息。每个事务都有一个事务ID，即TXID。由于加密货币钱包和网站记录比特币地址输入的方式，一个TXID可能在其记录中包含多个条目。

虽然真实世界的账本是私人的，只对保留财务记录的组织和个人开放，但比特币使用的区块链不是。这使得包括安全研究人员在内的任何人都可以很容易地使用区块资源管理器等公开可用工具在网上查找加密货币交易。

在比特币块中，事务信息包括发送者和接收器 - 所有由比特币地址标识的发送者 - 以及比特币支付的金额。

当我们回到手头的性勒索活动，并在比特币交易的壕沟中穿行时，请记住这些概念。

继续(比特币通过区块链)流

我们的六十封电子邮件中的比特币地址，163qcnngcpxk7njkbu3ggtxdhi74ycqzk.，实际上有一个小的交易历史。

但是，我们能够仔细看看这些交易并揭示额外的地址，让我们进一步了解这一特定的活动。

根据TXID94年c86a55bb3081312d6020e67202e8c93a43d897f4a289cc655c0e9e6d9e31b4，余额0.25924622 BTC被发送到另一个比特币地址，3HXDB3HAW1WVZU9B7ZSIGVGGASTD8KOZ3ZJ.2019年3月13日。在此期间，该BTC价值价值约为1,000美元，这是赎金电子邮件中所需的金额。

这个TXID还包含来自其他比特币地址的23个额外输入，这些地址可能也在性勒索活动背后的同一行动者的控制之下3HXDB3HAW1WVZU9B7ZSIGVGGASTD8KOZ3ZJ.．当然，组合来自这些投入的所有BTC值，总计4.16039634 BTC（调查时约为16,100美元）。

密切关注3HXDB3HAW1WVZU9B7ZSIGVGGASTD8KOZ3ZJ.，我们发现它有11个其他交易，遵循与我们刚审核的交易类似的模式遵循类似的模式．

我们可以确认这些交易中的每一个都包含嵌入式资金。以例如，txidb8ae16d604947f67d2b27774e6cfa7afcdb7ede651bdd539b5a5dc555be302aa：

这个TXID里的所有比特币地址都与犯罪活动有关比特币垃圾邮件是黑客和犯罪分子使用的密码地址的公共数据库。以下是与他们各自的诈骗报告的链接以及他们根据本撰写本文的比特币价格收到的金额：

• 12WE6HFUR6GMXRHU2GFKFPSLD16KI31MSF(作出三项投入):共收到5 297.32美元
• 1 kiy2x9tww3zdgzmuofrvz7sswx1b4moc9（制定了两项投入）：收到总额993.54美元
• 1 cjzhstjkz95xqdeq1pesygr2gkve8yf7u(做了两个输入):共收到7748.92 USD
• 17 qu3bzgqqzcs8wrcamlqirl4yytrkqvs3:共收到4 672.65美元
• 12 byqkzcrjphu75dp3nptf6c2nx3dhaxiu：收到总额2,516.05美元
• 1fccacs5pebekmr6wtz7k98jeqbhfhckdw:共收到3 752.34美元
• 12 i8q8k7apatjworx48sqqzngivmppwgpz:共收到2 490.25美元
• 1bdastcrvbm3qjei5zt1fxlry7m7jk3j1c:共收到2 531.09美元
• 136年nawuglkujwawywkckcnbde9u1e1fjhx：收到总额2,343.33美元

进一步分析合并地址变得困难，因为窃贼开始洗钱程序，通过分割和混合赃款来隐藏他们的非法收益。

这项特别的诈骗活动似乎在2019年2月1日至2019年3月13日至2019年3月13日之间最具活跃，共收集了21.6847451年BTC，该BTC略量超过220,000美元。

钱,钱,钱

当涉及到电子邮件性敲诈诈骗时，我只想说，生意很不幸令人难以置信的好．虽然这种骗局的简单性和盈利性可能会吸引潜在的犯罪分子，但越多的用户意识到这个骗局，我们用加密货币填满坏人口袋的可能性就越小。

但更重要的是，这应该为用户敲响警钟。很多人，甚至是那些自认为精通互联网的人，都被这些勒索信息所欺骗或感到不安，尤其是那些利用旧密码恐吓无辜的人掏钱的电子邮件。

如果您或您知道的某人可能已收到六十尾邮件，请知道他们很可能他们不看你．威胁行动者在邮件中描述的事情实际上并没有发生。

此外，不要恐慌。尽职尽责以及过去受到大规模入侵影响的安全账户(如果你还没有受到影响的话)。最后，如果你想做尽可能小的跳跃，只要删除电子邮件，并将它们作为无害的垃圾邮件归档在你的头脑中。