Znają moje hasło i maila - co robić?

Cześć dostałam dzisiaj maila w którym podano moje prawdziwe hasło i maila. Poczta działa jak działała. Coś mam zrobić czy wystarczy zmienić hasło i on się o tym nie dowie czy faktycznie widzą co robię na komputerze? Dodam ż nic nie podejrzewając robię przelewy i loguję się do różnych serwisów w tym do zusu i obywatela.

Szanowny tu podany mój mail,
Z przykroscia informuje, ze doszlo do naruszenia bezpieczenstwa zwiazane z urzadzeniami, ktore uzywasz do przegladania internetu.
Kilka miesiecy temu uzyskalem nieautoryzowany dostep do tych urzadzen i monitorowalem twoje dzialania w internecie.
Ostatnio udalo mi sie zhakowac twoje konta e-mail, w tym twoje haslo: tu podane moje prawdziwe hasło.

Ponadto, zainstalowalem wirusa trojanskiego na wszystkich urzadzeniach, z ktorych korzystasz do dostepu do swojej poczty e-mail.
Bylo to mozliwe, poniewaz kliknales na linki w otrzymanych wiadomosciach e-mail, co ulatwilo mi infiltracje twoich systemow.
Przez ten program oprogramowanie uzyskalem dostep do roznych funkcji twoich urzadzen, takich jak mikrofon, kamera wideo i klawiatura.
Odzyskalem rowniez i przechowalem twoje dane osobowe, dane, zdjecia i historie przegladania stron internetowych na moich serwerach.
Dodatkowo, uzyskalem dostep do twoich komunikatorow, sieci spolecznosciowych, korespondencji e-mail, historii czatow i listy kontaktow.
Aby pozostac niewykrytym, moj wirus ciagle odswieza swoje sygnatury, co czyni go niewidocznym dla oprogramowania antywirusowego.

Podczas moich dochodzen odkrylem, ze czesto odwiedzasz strony dla doroslych i angazujesz sie w tresci dla doroslych.
Udalo mi sie nagrac eksplicitne filmy z toba i stworzylem montaz, ktory prezentuje twoje intymne chwile i przyjemnosc.
Jesli watpisz w autentycznosc moich twierdzen, moge latwo udostepnic te filmy twoim przyjaciolom, kolegom i krewnym, a nawet uczynic je publicznie dostepnymi.

Uwazam, ze w twoim najlepszym interesie jest zapobiec temu, biorac pod uwage potencjalne konsekwencje ujawnienia takiej eksplicitnej tresci.
Dlatego proponuje rozwiazanie: przetransferuj 500 USD na moje konto bitcoin (szczegoly podane ponizej), zgodnie z kursami wymiany w momencie transakcji.
Po zakonczeniu transferu niezwlocznie usune wszelkie kompromitujace materialy.
Po tym rozstaniemy sie, a ja zapewniam, ze dezaktywuje i usune wszelkie szkodliwe oprogramowanie z twoich urzadzen.
Mozesz mi zaufac, ze dotrzymam umowy.

Biorac pod uwage obszerne informacje, ktore posiadam o tobie i czas, ktory poswiecilem na monitorowanie twoich dzialan, uwazam, ze jest to uczciwa i rozsadna oferta.
Jesli nie jestes pewien, jak kupowac i przekazywac bitcoiny, sugeruje skorzystanie z wyszukiwarki dla porad.

Portfel bitcoin: 

Prosze powstrzymac sie od podjecia nastepujacych dzialan:

Nie odpowiadaj na te wiadomosc e-mail, poniewaz utworzylem ja w twojej skrzynce odbiorczej i wygenerowalem adres zwrotny.
Nie probuj skontaktowac sie z policja lub innymi sluzbami bezpieczenstwa. Ponadto, nie informuj swoich przyjaciol, poniewaz latwo dla mnie jest odkryc takie dzialania, majac kontrole nad twoimi systemami. W takim przypadku natychmiast udostepnie filmy publicznie.
Jest bezcelowe probowac mnie namierzyc, poniewaz wszystkie transakcje kryptowalutowe sa anonimowe.
Ponowna instalacja systemu operacyjnego lub pozbycie sie urzadzen nie bedzie skuteczne, poniewaz filmy zostaly juz przechowywane na zdalnych serwerach.

Nie musisz sie martwic o kilka rzeczy:

Otrzymam natychmiastowy transfer srodkow, poniewaz ciagle monitoruje twoje dzialania za pomoca mojego wirusa trojanskiego, ktory ma zdolnosci do zdalnego sterowania podobne do TeamViewer.
Po zakonczeniu transferu srodkow nie mam zamiaru udostepniac twoich filmow. Nie mam interesu w dalszym komplikowaniu twojego zycia, bo zrobilbym to juz wczesniej, gdyby taka byla moja intencja. Mozesz byc pewien, ze wszystko zostanie uczciwie zalatwione.

Na koniec goraco radze unikac podobnych sytuacji w przyszlosci. Madrze jest regularnie zmieniac wszystkie swoje hasla, aby poprawic swoje bezpieczenstwo online.

Przykro mi, że to Cię spotkało — to typowy e-mail szantażowy (sextortion) i większość takich wiadomości to oszustwo. Poniżej masz konkretny, krok-po-kroku plan działania — zaczynaj od punktu 1 i idź dalej. Nie płać i nie odpowiadaj na maila.
Co zrobić TERAZ (najważniejsze kroki)
• Nie odpowiadaj, nie płać, nie klikaj żadnych linków i nie otwieraj załączników.
• Zrób zrzut ekranu wiadomości i zachowaj jej kopię (z pełnymi nagłówkami, jeżeli potrafisz je pobrać) — przyda się jako dowód.
• Jeśli mail zawiera twoje stare/powtarzane hasło — traktuj to jako sygnał, że to hasło mogło wyciec wcześniej z innego serwisu.
• Zmień hasła, ale zrób to z BEZPIECZNEGO urządzenia (telefon lub komputer, którego masz pewność, że nie jest zainfekowany). Najlepiej: użyj innego urządzenia (np. telefonu z aktualnym systemem i zaufaną siecią Wi-Fi lub mobilnego internetu).
• Najpierw zmień hasło do najważniejszych usług: poczta, bank, ePUAP/Profil Zaufany, konto ZUS (PUE), systemy do autoryzacji płatności.
• Użyj unikalnych haseł dla każdego serwisu (nie powtarzaj tych samych).
• Włącz dwuskładnikowe uwierzytelnianie (2FA) wszędzie, gdzie to możliwe (aplikacja uwierzytelniająca — najlepiej, nie SMS jeśli są alternatywy).
• Powiadom bank natychmiast — zadzwoń na numer z tyłu karty lub na oficjalny numer infolinii banku (nie z numeru w mailu). Poproś o monitorowanie nietypowych transakcji i rozważ tymczasowe zablokowanie kart / logowania jeśli masz wątpliwości.
• Nie loguj się do bankowości / ZUS / usług kluczowych na podejrzanym urządzeniu.
• Skanuj urządzenia antywirusowo — najlepiej uruchom pełne skanowanie kilkoma zaufanymi narzędziami (Windows Defender + jedno renomowane narzędzie komercyjne). Jeśli wynik nie jest pewny — idź dalej do punktu 8.
• Jeśli podejrzewasz infekcję trojańską — zrób czystą instalację systemu (reinstall / factory reset) lub oddaj do serwisu. Przy podejrzeniu backdoora najpewniejsze jest sformatowanie dysku i ponowna instalacja systemu z czystego obrazu. Zanim to zrobisz — zrób kopię ważnych plików (uwaga: nie rób kopii programów czy plików wykonywalnych; tylko dokumenty/fotki) i przeskanuj kopie.
• Zmień hasła ponownie po przeinstalowaniu systemu (z bezpiecznego urządzenia) i ustaw 2FA.
• Zgłoś sprawę — policji (komenda rejonowa) oraz do CERT Polska (organizacja zajmująca się incydentami komputerowymi) — nawet jeśli szantaż wygląda jak „masówka”, zgłoszenie jest ważne. Podaj kopie maila, daty i ewentualne nagłówki.
Jak sprawdzić, czy ktoś naprawdę „widzi” Twój komputer
• Posiadanie w mailu twojego prawdziwego starego hasła nie znaczy automatycznie, że ktoś wciąż ma dostęp do twojego komputera. Często oszuści używają haseł z dużych wcześniejszych wycieków (np. serwisów, gdzie logowałaś się kiedyś) aby budować wiarygodność.
• Jeśli jednak w mailu podają szczegóły, których nikt poza Tobą i twoimi kontaktami nie mógł znać, to powód do większego niepokoju.
• Jeżeli rzeczywiście został zainstalowany trojan, potencjalne ryzyka to: podgląd kamery/mikrofonu, keylogger (czyta hasła), zdalny dostęp. Dlatego postępuj jak wyżej (zmiana haseł z innego urządzenia, skan, reinstalacja).
Co zgromadzić jako dowody (przydatne do zgłoszenia)
• Cały e-mail (najlepiej w formie pliku .eml) — zawiera nagłówki.
• Zrzuty ekranu (nagłówek, treść, adres nadawcy, adres bitcoin, daty).
• Kopie komunikatów o przelewach/ostatnich logowaniach, jeśli widzisz podejrzane transakcje.
• Notatka z tego, które hasła zmieniłaś i kiedy.
Jak zabezpieczyć się długofalowo
• Menadżer haseł (np. KeePass, Bitwarden, 1Password) → generowanie unikalnych haseł.
• Włącz 2FA za pomocą aplikacji (Google Authenticator, Authy, lub lepiej klucza sprzętowego U2F, np. YubiKey) dla najważniejszych kont.
• Aktualizuj system i programy (Windows/Mac/Linux + przeglądarki + wtyczki).
• Uważaj na phishing — nigdy nie loguj się do serwisu po linku w mailu; zawsze wpisuj adres ręcznie lub korzystaj z zakładek.
• Monitoruj wycieki haseł — możesz skorzystać z narzędzi typu „Have I Been Pwned” aby sprawdzić, czy Twój e-mail pojawiał się w wyciekach. Jeśli tak — natychmiast zmień hasła.
• Alerty transakcyjne w banku — włącz SMS/e-mail o każdej transakcji.
Co zrobić, jeśli już nastąpiła nieautoryzowana transakcja
• Natychmiast kontaktuj bank — zgłoś nieautoryzowaną transakcję, zablokuj kartę, złóż reklamację. Banki w Polsce mają procedury do odzyskiwania środków w przypadku oszustw.
• Zgłoś sprawę na policję (dowód: zrzuty ekranu, maile, historia transakcji).
Kilka dodatkowych porad (szybkie „tak/nie”)
• Czy usuwać maila? Nie — zachowaj kopię jako dowód.
• Czy płacić? Nie. To zachęca przestępców i nie gwarantuje usunięcia materiałów (często i tak nic nie mają).
• Czy instalować „polecane” przez oszusta programy? Nigdy.
• Czy kontaktować znajomych? Jeśli oszust grozi ujawnieniem kompromitujących danych, rozważ poinformowanie najbliższych — mogą lepiej zareagować, jeśli coś wyjdzie na jaw.

To są dane z wykradzionej bazy. Prawdziwe, ale nikt się na te skrzynki nie loguje, bo za to są poważne zarzuty. Zmień hasło i zapomnij. 

Warto na innych stronach nie podawać hasła do logowania na maila którego się podaje. To podstawa podstaw, bo potem są takie kwiatki.