Screenshots als cryptoscam op Lightshot

Scammers zetten een Lightshot-val voor hebzuchtige crypto-investeerders.

Oplichting met cryptomunten lijkt met de dag populairder te worden. Zo zijn er bijvoorbeeld scammers die Discord-gebruikers oplichten door niet-bestaande munten op valse uitwisselingen aan te bieden, verzonnen verhalen over gelukkige winnaars op nepnieuwssites, en doen ze alsof er helikoptergeld te krijgen valt. Een nieuwe truc is het benutten van functie voor het delen van screenshots met Lightshot om net iets té nieuwsgierige crypto-investeerders geld afhandig te maken.

Handig betekent niet meteen veilig

Lightshot is een tool voor het maken, aanpassen en snel versturen van screenshots. Het bestaat uit een app voor Windows, macOS of Ubuntu en het prnt.sc-cloudportaal en laat gebruikers snel en eenvoudig screenshots delen: met één klik of een snelkoppeling wordt er een afbeelding naar de cloud gestuurd en krijgt u een URL terug om te kunnen delen.

Iedereen kan de gepubliceerde screenshots zonder authenticatie zien. U hebt hier niet eens een Lightshot-account voor nodig. Hierdoor is deze dienst erg snel en handig, maar niet erg veilig.

Bovendien hebt u om een screenshot te bekijken niet de exacte link nodig; het gaat om opeenvolgende URL’s, dus als u bijvoorbeeld een teken in een van de URL’s vervangt door het volgende teken in die reeks, wordt er een andere afbeelding geopend. Dit proces kan zelfs geautomatiseerd worden. Een simpel script voor brute-forcen van de URL’s en het downloaden van de content ervan is in een paar minuten geschreven.

Deze openheid is geen bug; de service waarschuwt gebruikers dat elke geüploade afbeelding openbaar beschikbaar is. Maar gezien de lekken met waardevolle informatie via Lightshot die regelmatig het nieuws halen, leest blijkbaar niet iedereen de kleine lettertjes.

Hoe er gegevens gelekt worden in Lightshot

En wat dan nog als er screenshots op het publieke domein komen te staan? Wie geeft er nu iets om het delen van records in games of grapjes uit werkberichten? Denk daar nog eens over na. Lightshot-gebruikers kunnen zichzelf op zijn minst op drie manieren doxen.

Neem bijvoorbeeld een werknemer die een screenshot maakt van een interface om hulp te krijgen bij het instellen van een nieuw programma. Dat klinkt normaal. Maar wat als er een vertrouwelijk document geopend is of slechts gedeeltelijk is verborgen onder het applicatievenster? Of als iemand een hilarisch domme werk-e-mail deelt met een vertrouwde vriend, alleen om eens goed te lachen? Of als iemand een intieme chat laat zien maar vergeet om de namen of adressen onleesbaar te maken?

Als dit soort screenshots openbaar toegankelijk zijn in Lightshot, kan dit tot serieuze problemen leiden. Online boosdoeners jagen voor de lol op onthullende foto’s, trollen kunnen ze gebruiken om mensen lastig te vallen en cybercriminelen kunnen ze benutten om geld van hun slachtoffers af te troggelen.

Een val voor nieuwsgierige gebruikers

En zelfs degenen die waardevolle gegevens altijd privé houden en screenshots altijd controleren op ongewenste extra informatie kunnen merken dat de dienst toch een paar tekortkomingen kent. Het Lightshot-portaal kan bijvoorbeeld screenshots bevatten met details voor toegang tot een cryptocurrency-portefeuille. Soms lijken deze screenshots erop te wijzen dat het account met opzet is gedeeld. Sommige geven verzoeken om hulp weer. Sommige zijn bizar en volledig ongerelateerd — zo zagen we zelfs een zelfmoordbriefje.

Screenshots van correspondentie die de inloggegevens voor neppe cryptocurrency-accounts tonen

In andere gevallen lijkt het erop dat de “inloggegevens” per ongeluk of door onachtzaamheid op Lightshot zijn beland. We zagen bijvoorbeeld screenshots van wat de e-mails voor het wachtwoordherstel voor een cryptocurrency-portefeuille leken te zijn. 

Neppe wachtwoordreset-e-mails voor net zo neppe cryptocurrency-accounts

Als een gebruiker naar de weergegeven URL gaat in de hoop hier snel van te kunnen profiteren, komen ze op een website terecht die een cryptocurrency-uitwisseling nabootst. Na het invoeren van de inloggegevens belanden ze op een nepaccount waar het indrukwekkende bedrag van laten we zeggen 0,8 BTC opstaat (meer dan € 35.000 ten tijde van dit schrijven). En eenmaal in het account kan het slachtoffer proberen om dat bedrag op te nemen en naar hun eigen rekening over te maken.

In dat geval vraagt de uitwisseling om een kleine toeslag. Dit bedrag stelt weinig voor in vergelijking met zo’n smak geld, maar het is natuurlijk nep en zal alleen de zakken van de oplichters vullen. En die “kleine toeslag” is natuurlijk relatief: een toeslag van bijvoorbeeld 0,001 – 0,0015 BTC staat momenteel ongeveer gelijk aan € 50 tot € 75.

Al met al lijkt deze truc goed te werken en hij is in zekere zin elegant te noemen. Ten tijde van dit schrijven was er al meer dan 0,1 BTC (ongeveer € 5.000) naar de “toeslagen”-portefeuille overgemaakt.

Hoe u uw geld en gegevens veilig houdt

Gemak staat niet gelijk aan veiligheid of privacy, en vaak is zelfs het tegenovergestelde het geval. Lightshot is hier een perfect voorbeeld van. Hier vindt u een aantal tips om veilig met screenshots te werken:

  • Bedenk voor het installeren van Lightshot of u echt screenshots wilt delen door ze openbaar te maken;
  • Als u besluit dit inderdaad te doen, onthoud dan dat vertrouwelijke informatie — bankgegevens, wachtwoorden of andere persoonlijke informatie — verdienmodellen van cybercriminelen zijn. Gebruik beveiligde kanalen om ze te delen, dus niet Lightshot, of beter nog: deel ze überhaupt niet;
  • Als u Lightshot al hebt gebruikt en spijt hebt van gedeelde screenshots, verkrijg dan de URL door in uw berichten te zoeken, ga naar de URL toe en klik op Misbruik melden; of stuur een verzoek naar support@skillbrains.com;
  • Gebruik de ingebouwde tools en snelkoppelingen in uw besturingssysteem voor het maken van screenshots. In Windows is dat de Snipping Tool of de Print Screen-knop, en Mac-gebruikerskunnen op Cmd-Shift-3 drukken om een volledige screenshot op te slaan of Cmd-Shift-4 om een bepaald gebied te selecteren voor een screenshot.

Ter verduidelijking: we raden niet aan om op accounts van anderen in te loggen, ook al is het maar uit nieuwsgierigheid. En om te voorkomen dat u per ongeluk uw inloggegevens aan phishers weggeeft, dient u een betrouwbare beveiligingsoplossing te gebruiken die u waarschuwt als u op een verdachte website stuit.

Tips