Zrzuty ekranu narzędziem oszustwa w Lightshot

Oszuści zastawiają pułapkę w narzędziu Lightshot na pazerne osoby inwestujące w kryptowaluty.

Oszustwa dotyczące kryptowalut triumfują szczyt popularności. Oszuści manipulowali już użytkownikami serwisu Discord, oferując im nieistniejące monety na fałszywych giełdach, wymyślając historie o szczęśliwych zwycięzcach na fałszywych stronach z informacjami i symulując akcje obejmujące pieniądze helikopterowe; teraz nowy schemat wykorzystuje służące do udostępniania ekranu narzędzie Lightshot, aby wyłudzić pieniądze od nadmiernie ciekawskich inwestorów w kryptowaluty.

Wygodny nie oznacza bezpieczny

Lightshot to narzędzie służące do tworzenia, dostosowywania i szybkiego wysyłania zrzutów ekranu. Występuje ono w postaci aplikacji dla systemu Windows, macOS lub Ubuntu, a do obsługi wykorzystywany jest także portal chmurowy prnt.sc. Dzięki niemu użytkownicy mogą łatwo i szybko udostępniać sobie zrzuty ekranu: wystarczy jedno kliknięcie lub skrót klawiaturowy, aby wysłać obraz do chmury i otrzymać prowadzący do niego adres internetowy umożliwiający udostępnienie go.

Każda osoba może zobaczyć udostępniane zrzuty ekranu bez konieczności autoryzacji; w tym celu nawet nie trzeba mieć konta w serwisie Lightshot. Sprawia to, że serwis ten jest szybki i wygodny, jednak nie zapewnia bezpieczeństwa.

Co więcej, aby wyświetlić zrzut ekranu, nie trzeba nawet mieć dokładnego łącza — są one generowane w odpowiedniej kolejności, więc jeśli zastąpisz jakiś znak innym, zobaczysz kolejny obraz. Proces ten można nawet zautomatyzować. W kilka minut można napisać prosty skrypt potrafiący łamać metodą siłową adresy internetowe i pobierający z nich zawartość.

Taka otwartość nie jest błędem; serwis ostrzega użytkowników, że każdy przesłany obraz staje się dostępny publicznie. Jednak z racji tego, że wycieki cennych informacji poprzez Lightshot zdarzają się regularnie, wygląda na to, że nie każdy czyta treści zapisane małą czcionką.

Jak wyciekają dane z Lightshot

Załóżmy, że te zrzuty ekranu trafiają do domeny publicznej. Kogo obchodzą udostępniane rekordy z gier lub żarty z firmowych wiadomości? Wystarczy pomyśleć kreatywnie: użytkownicy narzędzia Lightshot mogą sami opublikować swoje dane w jeden z co najmniej trzech sposobów.

Załóżmy, że pracownik wykona zrzut ekranu interfejsu, aby pomóc komuś w skonfigurowaniu nowego programu. Brzmi świetnie. Może się jednak zdarzyć, że pod oknem aplikacji będzie częściowo widoczny dokument poufny. Ponadto ktoś może udostępnić zabawny e-mail z pracy zaufanemu znajomemu, aby się pośmiał, a ktoś inny może pokazać rozmowę prywatną, ale zapomni zamazać imiona i adresy.

Upublicznienie takich zrzutów ekranu poprzez Lightshot może przysporzyć wiele kłopotów. Różni ludzie w internecie polują na zdjęcia ujawnione dla zabawy; trolle mogą ich użyć do dręczenia kogoś; a cyberprzestępcy mogą zagrozić ich ujawnieniem, o ile ofiara im nie zapłaci.

Pułapka dla osób wulgarnych

Z drugiej strony nawet osoby, które dbają o prywatność cennych danych i zawsze sprawdzają zrzuty ekranu pod kątem niechcianych dodatków, mogą doświadczyć wpadki ze strony tej usługi. Na przykład w portalu Lightshot może znaleźć się zrzut ekranu zawierający szczegółowe informacje pozwalające uzyskać dostęp do portfela kryptowalut. Czasami takie zrzuty ekranu sugerują, że konto zostało udostępnione celowo. Niektóre wyświetlają prośbę pomocy, inne są dziwaczne i przerażające — natrafiliśmy nawet na notatkę samobójczą.

Zrzuty ekranu korespondencji, na których widać dane logowania do fałszywych kont w serwisach kryptowalut

W innych przypadkach wydaje się, że te „dane logowania” znalezione w Lightshot zostały umieszczone przez przypadek lub nieostrożność. Na przykład na niektórych zrzutach ekranu widać było e-maile służące do przywracania hasła do portfela kryptowalut.

Fałszywe e-maile dotyczące resetowania hasła dla równie fałszywych kont kryptowalut

Jeśli użytkownik przejdzie pod adres internetowy widoczny na zrzucie ekranu w nadziei na łatwy zarobek, w rzeczywistości znajdzie się na stronie podszywającej się pod giełdę wymiany kryptowalut. Wprowadzenie danych logowania kieruje ofiarę na fałszywe konto, na którym rzekomo znajduje się ogromna ilość kryptowaluty, np. 0,8 BTC (na chwilę pisania tego tekstu to ponad 45 tys. dol.). Jednak po zalogowaniu się ofiara może próbować przesłać pieniądze na własne konto.

Wówczas giełda żąda niewielkiej prowizji. W porównaniu do całej sumy kwota ta jest niewielka, ale jej celem jest jedynie wypełnienie kieszeni oszustów. Oczywiście ta „niewielka prowizja” to pojęcie względne: np. 0,001–0,0015 BTC, przy aktualnym kursie bitcoina, to około 60–90 dolarów.

Ogólnie schemat ten wydaje się całkiem nieźle działać, a przy tym nie jest nachalny. Na chwilę pisania tego tekstu około 0,1 BTC (ok. 6 tys. dol.) zostało przesłane do portfela „prowizyjnego”.

Jak zaoszczędzić pieniądze i zabezpieczyć swoje dane

Wygoda nie zawsze idzie w parze z bezpieczeństwem i prywatnością — a często jest wprost przeciwnie. Lightshot jest tu doskonałym przykładem. Oto kilka porad pozwalających bezpiecznie pracować ze zrzutami ekranu:

  • Zanim zainstalujesz narzędzie Lightshot, zastanów się, czy naprawdę chcesz udostępniać zrzuty ekranu poprzez upublicznianie ich.
  • Jeśli zdecydujesz się je zainstalować, pamiętaj, że informacje poufne — szczegóły dotyczące bankowości, hasła, inne informacje osobiste — to łakomy kąsek dla cyberprzestępców. Udostępniaj je poprzez zabezpieczone kanały, a nie narzędzie Lightshot, a jeszcze lepiej nie wysyłaj ich przez internet wcale.
  • Jeśli już korzystałeś z narzędzia Lightshot i teraz żałujesz, że coś udostępniłeś, znajdź adres pliku w swoich wiadomościach, przejdź pod niego i kliknij przycisk służący do zgłaszania nadużyć (Report abuse) lub wyślij takie żądanie na adres support@skillbrains.com.
  • Do tworzenia zrzutów ekranu korzystaj z narzędzi i skrótów wbudowanych w swój system operacyjny. W systemie Windows używaj narzędzia Przechwytywanie lub klawisza Print Screen; użytkownicy komputerów Mac mogą wcisnąć Cmd-Shift-3, aby zapisać pełnoekranowy zrzut, lub Cmd-Shift-4, aby wybrać obszar do uchwycenia.

Nie zalecamy logowania się na inne konta, nawet z ciekawości. Aby uniknąć przypadkowego udostępnienia swoich danych logowania phisherom, korzystaj z rzetelnego rozwiązania ochronnego, które poinformuje Cię, gdy trafisz na podejrzaną stronę internetową.

Porady