2012年頃にLinkedInから漏れたパスワードを悪用して、僕がLinkedInで使ってたパスワードがタイトルになった脅迫メールが来ました。
内容はざっくりこんな感じ・・・
運が悪かったな。俺はお前のパスワードを知ってる。XXXXXだろ。お前は俺の知り合いとかじゃないし、俺は一人でやってる。
アダルトサイトに仕込んだソフトからお前のコンピュータに遠隔ログインできるようになって、キー入力も全部盗めるようにしてある。お前のEメールもFBの投稿も全部知ってる。
二つの動画を作った。一つは画面のキャプチャー動画で、もう一つはフロントカメラからとったお前の動画だ。どういうことか分かるな?
オプションは二つある。俺を無視するか、俺に$2600ドルを払うか。
無視する場合は、盗んだアドレス帳にあるすべての連絡先に動画を送り付ける。
払う場合は秘密にしといてやるし、動画も全部消す。
Bitcoin知ってるか?知らないならググれ(注:本当にこんな感じで書いてました。もうちょっと親切に教えたれやww)
これがBitcoinの住所:1B5WCsT2yCQ43uGU7jJ4NYoYhsDhDpLkUG
ところでこのメールに秘密に画像ピクセルを仕込んどいたからお前がこのメールを見たことはわかる。1日まってやる。急げ。誰にも言うなよ。
さすがに本物の(もうとっくの昔に変えたけど)パスワードだったんでびっくりしましたが、LinkedInで使ってたパスワードだったんでピンときました。
いろいろありそうな言葉を盛って(key logger とかRDPとか)それっぽく装ってるんで、引っかかる人もいるのかな~っと思ってこのBitcoinの住所での取引があるか見てみたら幸い誰も払ってはないみたいだった。
ご苦労様です。
どちらにしろ、いくつかみんなで気を付けるべき点:
- 同じパスワードを複数サイト・サービスで使うのはマジで避けよう!
- サービスがFBとかGoogleとかと連携してるんなら、連携を使おう。新たにユーザー名+パスワードを作成するのは避けよう(特に新興サービスは、ずっと秘密を保守してくれる保証はないです。実際僕も昔作ったアカウントとか、サービスそのものが無くなってるし。そしたらそれに使ったデータベースのバックアップとかどこでどう漏れるかわかりません。)
- パスワードは、自分だけしか分からないルールを作って自分なりに「暗号化」しよう。
- パスワード管理ツールを使って自分の「記憶力」に頼りすぎないようにしよう。
まぁそんな感じですかね。みんなで頑張ってサイバークライムと戦いましょう~!
ちなみに英語での関連記事1
関連記事2