Ho ricevuto un'e-mail che mi minacciava DDOS se non pago il riscatto. Cosa dovrei fare?

138

Ho ricevuto la seguente email, indirizzata a me a un indirizzo email nel mio dominio personale (per il quale eseguo il mio server di posta su un VPS):

FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION!

We are Armada Collective. lmgtfy URL here

Your network will be DDoS-ed starting 12:00 UTC on 08 May 2016 if you don't pay protection fee - 10 Bitcoins @ some-bitcoin-address

If you don't pay by 12:00 UTC on 08 May 2016, attack will start, yours service going down permanently price to stop will increase to 20 BTC and will go up 10 BTC for every day of attack.

This is not a joke.

Our attacks are extremely powerful - sometimes over 1 Tbps per second. And we pass CloudFlare and others remote protections! So, no cheap protection will help.

Prevent it all with just 10 BTC @ some-bitcoin-address

Do not reply, we will not read. Pay and we will know its you. AND YOU WILL NEVER AGAIN HEAR FROM US!

Bitcoin is anonymous, nobody will ever know you cooperated.

Ovviamente, non ho intenzione di pagare il riscatto. Dovrei fare qualcos'altro?

Aggiornamento:

Ho inoltrato l'email e le intestazioni originali all'ISP di origine. Hanno risposto che "le misure sono state prese". Quindi, um, yay? Immagino?

    
posta alexw 05.05.2016 - 02:09
fonte

8 risposte

96

In base al seguente articolo, puoi semplicemente ignorarlo. Questa sembra essere una truffa comune e la tua e-mail sembra quasi esattamente come quella del seguente articolo.

link

Cerca l'ISP di origine del fornitore di servizi che ha inviato l'e-mail e contatta il proprio team sugli abusi [email protected] . Possono disabilitare la fonte delle e-mail o avvisare il cliente ignaro che può possedere la macchina. La notifica dell'ISP di origine è utile per ridurre la quantità di questo. Assicurati di inviare loro un'e-mail con intestazioni complete. Se la fonte sembra essere un sistema compromesso in una grande azienda, li informerei in aggiunta all'ISP. Fallo facendo CC contemporaneamente sia all'azienda che all'ISP per ottenere risultati più rapidi. Tieni presente che alcuni sistemi dannosi potrebbero anche impersonare come host compromesso, anche se non è così che l'ISP potrebbe effettivamente essere più importante della notifica al proprietario del sistema.

    
risposta data 05.05.2016 - 02:13
fonte
107

Questo articolo potrebbe essere importante per te: link

Qualcuno ha copiato il contenuto di posta elettronica del Collettivo Armada per spaventare le persone a pagare, ma non sono stati registrati attacchi.

Quindi, probabilmente, non devi fare nulla.

    
risposta data 05.05.2016 - 02:12
fonte
53

Ignora.

Cloudflare hanno dichiarato che questi sono falsi - vedi link I consiglio vivamente di leggere questo articolo, in quanto è una spiegazione molto chiara dalla prima linea. Il collettivo di armate è un vero gruppo DDOS, ma alcuni truffatori usano solo il loro nome per cercare di spaventare la gente. L'indirizzo Bitcoin è apparentemente lo stesso su tutte le loro e-mail, il che significa che non sapranno mai chi le ha pagate.
È possibile tracciare gli importi pagati ad un indirizzo Bitcoin e sembra che abbiano fatto oltre $ 100K da questa truffa!

In conclusione, le minacce DDOS dovrebbero essere sottoposte a prove (forse un DDOS di 15 minuti) prima di pagare.

EDIT: Giusto per chiarire come sembra dai commenti che non ero abbastanza chiaro.
Non intendo esprimere un'opinione sul fatto che il pagamento debba essere effettuato o meno. Avere sempre una buona sicurezza e se una minaccia ti obbliga a decidere di spendere soldi - pagando la domanda o acquistando la protezione DDOS che altrimenti non avresti bisogno - controlla che la minaccia sia legittima prima richiedendo più prove di quelle che potrebbero essere solo una minaccia vuota.

    
risposta data 05.05.2016 - 10:40
fonte
18

Se sei nel Regno Unito , ti preghiamo di fare questo:

Messaggio inviato da Frode d'azione (frode d'azione, amministratore, nazionale)

Nelle ultime 24 ore diverse aziende in tutto il Regno Unito hanno ricevuto richieste di estorsione da un gruppo che si autodefinisce "Lizard Squad".

Metodo di attacco: Il gruppo ha inviato e-mail che richiedono il pagamento di 5 Bitcoin, da pagare entro una certa data e ora. L'e-mail afferma che questa richiesta aumenterà di 5 Bitcoin per ogni giorno in cui non sarà pagata.

Se la loro richiesta non viene soddisfatta, hanno minacciato di lanciare un attacco Denial of Service contro i siti Web e le reti delle aziende, portandoli offline fino a quando non viene effettuato il pagamento.

La domanda afferma che una volta avviate le azioni, non possono essere annullate.

Che cosa fare se hai ricevuto una di queste richieste:

  • Segnalalo alla frode dell'azione chiamando il 0300 123 2040 o usando il strumento di segnalazione online
  • Non pagare la domanda
  • Conserva le e-mail originali (con le intestazioni)
  • Mantieni una cronologia dell'attacco, registrando tutti i tempi, il tipo e il contenuto del contatto

Se stai riscontrando un DDoS adesso dovresti:

  • Segnalalo alla frode dell'azione chiamando immediatamente 0300 123 2040.
  • Chiama il tuo provider di servizi Internet (ISP) (o il fornitore di servizi di hosting, se lo fai non ospita il tuo server Web), dì loro che sei sotto attacco e chiedi per un aiuto.
  • Mantieni una cronologia degli eventi e salva i log del server, i registri web, i log delle email, qualsiasi acquisizione di pacchetti, grafici di rete, rapporti, ecc.

Ottieni i migliori consigli online per proteggere la tua attività da un DDoS:

  • Considera la probabilità e i rischi per l'organizzazione di un attacco DDoS e metti in atto misure appropriate di riduzione / attenuazione delle minacce.
  • Se ritieni che sia necessaria una protezione, parla con uno specialista di prevenzione DDoS.
  • Se sei a rischio di un attacco DDoS o no, dovresti avere le strutture di hosting in atto per gestire grandi volumi inattesi di hit del sito web.
risposta data 05.05.2016 - 12:09
fonte
7

Pay and we will know its you.

Questa è la cosa: una minaccia vuota che assomiglia esattamente a ciò che hai è andata in giro, che ha sempre lo stesso indirizzo bitcoin . In altre parole: non possono sapere che sei tu se paghi, e quindi la minaccia deve essere un bluff. Ciononostante, centinaia di migliaia di dollari sarebbero stati inviati a quell'indirizzo da persone prese da questo ...

Per scoprire se si tratta di un bluff, google l'indirizzo bitcoin. Immagino che sarai in grado di scoprire rapidamente se ti hanno inviato uno speciale, nel qual caso hai motivo di preoccuparti o meno.

Steve Gibson ne ha parlato su episodio 557 del suo podcast Security Now (trascrizione here ). Il mio denaro è dato da un bluff, dal momento che il tuo testo sembra essere parola per parola lo stesso di cui parla Steve Gibson.

    
risposta data 06.05.2016 - 18:09
fonte
5

Questa e-mail minacciosa sembra essere proprio questa: una minaccia.

Non devi tollerarlo, qualunque cosa facciano, questa è pura estorsione.

Segnalalo a:

  • la tua società di hosting, inviando loro una copia originale dell'e-mail in pericolo (con tutte le intestazioni nella loro forma originale. Trasferisci come allegato all'interno di qualsiasi client di posta elettronica professionale),

  • la tua agenzia di sicurezza nazionale o dipartimento di polizia IT specializzato con una copia originale dell'e-mail in pericolo.

[...] the world is in greater peril from those who tolerate or encourage evil
than from those who actually commit it.
                                                                                                                  Albert Einstein

    
risposta data 05.05.2016 - 14:39
fonte
3

Sembra un bluff per tutti i motivi indicati in altre risposte.

Se hanno intenzione di farti DDoS con pura larghezza di banda, allora non si limiteranno a DDoSing, ma attaccheranno la connessione di rete del tuo VPS.

Pertanto, anche se questo attacco sembra improbabile, probabilmente è meglio informare il fornitore del VPS che la minaccia si è verificata. Potrebbero dirti di ignorarlo (e minacce future), ma dal momento che li influenzerà se mai accadrà, allora la cosa cortese da fare è farglielo sapere e scoprire la loro politica. Probabilmente hanno già visto minacce come questa e in tal caso hanno più esperienza di quanta ne decidiate se e quando coinvolgere le forze dell'ordine.

Ovviamente ciò dipende in parte dal tuo fornitore di VPS: se sai che il loro servizio clienti non risponde o è incompetente, allora non c'è molto che puoi fare in quella direzione.

    
risposta data 05.05.2016 - 14:59
fonte
-1

Non fare nulla, probabilmente è un bot che ti invia comunque quell'e-mail. Non conoscono il tuo indirizzo IP e non scopriranno se non rispondi neanche. Anche se lo facessero, potresti notare che la tua connessione inizia in ritardo. In tal caso, informa semplicemente il tuo ISP e richiedi un nuovo indirizzo IP, problema risolto.

    
risposta data 10.05.2016 - 10:12
fonte

Leggi altre domande sui tag