Truffe via e-mail: un tentativo di ricatto particolarmente inquietante

I tentativi di truffa online sono all’ordine del giorno ed alcuni di essi sono particolarmente facili da evitare. Non è credibile, infatti, che si possano vincere oggetti particolarmente costosi semplicemente compilando un questionario ed ormai gli utenti sono abbastanza abituati a questo tipo di messaggi e nella maggior parte dei casi la e-mail viene cancellata e tutto finisce lì.

Nell’ultimo periodo, però, stanno circolando delle e-mail che possono risultare particolarmente inquietanti per un dettaglio semplicissimo eppure dall’indubbia efficacia: il contenuto riporta (una o più volte) una password davvero utilizzata dall’utente anche se probabilmente una vecchia e non più utilizzata. L’utente è invitato a pagare dei soldi affinché non vengano divulgati dei filmati in atteggiamenti intimi rubati attraverso la webcam del computer.

Nei giorni scorsi ho ricevuto una di queste e-mail e, da appassionato di sicurezza informatica, ho deciso di approfondire la questione. Senza entrare in noiosi dettagli tecnici voglio spiegare perché questi messaggi devono essere ignorati e non devono essere fonte di preoccupazione.

Il contenuto della mail è davvero semplice e scritto (spesso in inglese) in una lingua corretta e credibile: un sedicente hacker ci informa di sapere una delle nostre password (che viene riportata e risulta essere perfettamente corretta) e che ha infettato il nostro computer mentre stavamo guardando un sito pornografico. Questo malware teoricamente installato si è occupato di registrare due filmati: uno che fa vedere cosa stavamo guardando ed uno catturato con la webcam mentre ci “divertivamo” guardando il sito. Quindi arriva la minaccia: o si paga una cifra utilizzando i BitCoins oppure i filmati verranno divulgati ai nostri contatti più stretti individuati attraverso l’hacking dei nostri social network. Viene anche detto che c’è un tempo limite per effettuare il pagamento.

Questo tentativo di truffa si basa su due aspetti molto potenti, non di natura tecnica ma sociale/psicologica:

  1. Il binomio internet-pornografia è sempre attuale e la probabilità (sui grandi numeri) che l’utente abbia davvero visitato qualche sito per adulti è piuttosto alta. Scatta nella mente, quindi, il timore che i nostri amici, colleghi, conoscenti o il proprio partner vengano a conoscenza di atteggiamenti socialmente poco accettati e percepiti come particolarmente vergognosi;
  2. Il fatto di citare una password davvero utilizzata e scritta correttamente fa pensare immediatamente che il messaggio sia reale perché particolarmente personalizzato.

Le cifre da pagare sono piuttosto alte: di solito tra i 1200 e i 1600 dollari, ma non mancano casi con cifre anche più alte (io, ad esempio, ho ricevuto un messaggio con una cifra di 6000$).

Inutile dire che una mail del genere va totalmente ignorata e che non ci si deve nemmeno sognare di pagare perché in questo modo si cadrebbe vittima di un sistema dal quale è difficile uscire: se si è vittime una volta, si sarà vittime per sempre.

Per molti motivi il criminale che sta perpetrando questa truffa non è affatto in possesso di filmati compromettenti e con ogni probabilità (come confermato anche dalla Polizia Postale) non è nemmeno riuscito ad entrare all’interno dei nostri social network. Aldilà dei motivi tecnici (non sarebbe affatto facile riuscire a prendere il controllo della webcam senza che l’utente se ne accorga), c’è anche una ragione di natura pratica: considerando il numero di messaggi inviati al truffatore conviene far finta di possedere i filmati convinto che alcuni utenti finiranno per pagare. Creare il software, automatizzare il processo di invio dei filmati, controllare i pagamenti effettuati e altre cose di questo genere costerebbero parecchia fatica. È molto più semplice affidarsi ai grandi numeri: se su un milione di utenti contattati anche solo 100 cadono nella trappola ci si assicura un “guadagno” di più di 100.000$.

Ma veniamo al punto più inquietante: la password dell’utente. La domanda più logica che viene da porsi è: “ma come diavolo fanno a sapere che quella è/è stata davvero la mia password?“. Agli utenti più inesperti questo aspetto è quello che genera il panico. In realtà (come spiegato molto bene su krebsonsecurity) la soluzione è piuttosto semplice: ci sono molti siti web ai quali si accede utilizzando la propria mail come nome utente e qualche volta i siti ai quali siamo iscritti sono stati vittima di attacchi che hanno permesso di divulgare la coppia mail-password. Infatti i messaggi arrivano sempre ad una mail che era stata utilizzata in un sito come nome utente in accoppiata con la password citata nel messaggio. Per chi ha organizzato la truffa è stato sufficiente ottenere una lista di questo genere proveniente da un attacco fatto anche molto tempo fa ed il processo di invio dei messaggi può essere completamente automatizzato. Nel dicembre del 2017 la polizia canadese ha arrestato un “hacker” che vendeva queste informazioni!

Tutto questo per dire che chiunque riceva questo tipo di messaggi può stare tranquillo, anche se ha davvero visitato siti per adulti ed ha una webcam installata. Nessuno è in possesso di filmati compromettenti!

Di certo una raccomandazione va fatta: se viene ricevuto il messaggio e la password inserita all’interno è ancora utilizzata in qualche sito è opportuno cambiarla perché di certo non è una buona idea tenere “in vita” una credenziale che è stata in qualche modo divulgata!

Fonti:
Krebsonsecurity – Sextortion
Krebsonsecurity – Canadian Hacker
Il Messaggero – Raccomandazioni polizia postale

Taggato , , , . Aggiungi ai preferiti : Permalink.

Informazioni su Alessio

Informatico, fotografo amatoriale ed appassionato di viaggi e scienza...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *