Stamattina ho ricevuto un’email da sconosciuti. L’oggetto dell’e-mail è sconcertante: c’è il mio nome ed una password reale che ho usato in passato per vari siti.
Cosa chiedono? Soldi, naturalmente. 7.000 Dollari da pagare in bitcoin.
Se non pago, verranno diffusi dei video che mi riguardano e di cui gli sconosciuti sono in possesso.
Video che ovviamente non esistono.
Ma cosa rende questo messaggio più allarmante di altri che intasano le nostre caselle di posta? Sicuramente il fatto che i ricattatori conoscano una nostra password reale ed utilizzata, oltre all’indirizzo e-mail.
Questi dettagli fanno sembrare tutto più verosimile.
Quindi, bisogna preoccuparsi o no?
Per il pagamento e per il tentativo di ricatto, no.
Per la password in mano a sconosciuti, si.
Vediamo passo passo cosa è successo, partendo dal testo dell’e-mail (la traduzione è mia). Prima frase:
Lets get straight to the point. Nobody has paid me to check about you. You do not know me and you’re most likely thinking why you’re getting this email?
Andiamo dritti al punto. Nessuno mi ha pagato per controllarti. Non mi conosci e probabilmente stai pensando perché hai ricevuto questa e-mail?
Diventa evidente da subito il tentativo di intimorire: ti scrivono “tu non mi conosci” ma ti fanno intendere che conoscono molto di te, infatti conoscono una tua password e la tua e-mail.
Continuiamo:
actually, I setup a software on the X vids (porn material) web site and you know what, you visited this website to experience fun (you know what I mean). When you were watching video clips, your browser started operating as a Remote control Desktop that has a keylogger which gave me access to your display screen as well as webcam. after that, my software program collected your entire contacts from your Messenger, FB, and e-mailaccount. Next I made a video. 1st part shows the video you were watching (you’ve got a good taste haha), and next part shows the view of your web camera, yea its u.
Ho installato un software sui siti porno che hai visitato […] Quando guardavi i video, il tuo browser ha cominciato ad operare come un software di controllo remoto che mi ha dato accesso al tuo monitor così come alla tua webcam, dopo di che […] ho preso tutti i tuoi contatti da messenger, Facebook e dalla posta elettronica. Quindi ho fatto un video, la prima parte mostra il video che stavi guardando, la seconda mostra il video della tua webcam, si sei tu.
Si passa quindi alla minaccia:
Very first option is to neglect this email. In this situation, I will send your very own tape to every single one of your personal contacts and also consider concerning the disgrace you feel. Keep in mind in case you are in a relationship, just how it will affect?
La prima opzione è ignorare questa e-mail. […] In questo caso, invierò il video a ogni contatto [quelli che dice di aver rubato][….]
Poi però arriva il suggerimento risolutore:
Number two solution will be to pay me $7000. Let us refer to it as a donation. In this scenario, I most certainly will quickly erase your video recording. You can continue on with daily life like this never took place and you never will hear back again from me.
La seconda opzione è pagarmi 7.000 Dollari. […] Dopo di che non mi sentirai mai più
Seguono poi altre frasi utili a impressionarti, tipo “ho incluso un pixel in questa e-mail e so che la stai leggendo”.
E quindi, cosa consigli di fare?
Nulla.
Ignora il messaggio e non pagare nulla.
È una truffa ben congegnata, che rientra nella categoria del “sextortion“, ossia del ricatto sessuale: se non paghi, rendono pubblici foto o video compromettenti.
Per fortuna, in questo caso, non c’è questo rischio. Non è stato installato alcun software che registra te e ciò che guardi sul tuo PC. Non c’è nessun video compromettente.
I ricattatori non hanno nulla. Se avessero anche un solo fotogramma, te lo avrebbero inviato per rendersi credibili.
Il fatto che abbiano aggiunto una tua reale password è solo uno stratagemma molto fine per aumentare la credibilità del messaggio.
La tecnica è semplice ed efficace: ti dimostrano che conoscono cose segrete di te (la password) e minacciano di diffonderne altre (i presunti video).
La minaccia sembra reale. Per smontarla definitivamente dobbiamo analizzare un ultimo aspetto.
Come fanno a conoscere una tua password?
In genere, si tratta di una password che hai utilizzato in passato. Oppure la utilizzi ancora oggi, ma è stata creata molto tempo fa.
Nel corso degli anni, molti servizi online (fra cui Linkedin e Dropbox) hanno subito furti di password e di indirizzi e-mail.
Per verificare se qualche tuo account è stato compromesso, vai sul sito “have i been pwned?” ed inserisci il tuo indirizzo e-mail.
Potrai verificare se qualche tuo dato è stato “rubato” nel tempo.
A me è capitato due volte.
- con Linkedin, a cui hanno rubato 164 milioni di indirizzi e-mail e password non in chiaro
- con Dropbox, a cui hanno sottratto i dati di 68 milioni di utenti.
In entrambi i casi, fui contattato e invitato a cambiare immediatamente la password e fui informato di quanto era accaduto.
Questi dati sono stati venduti o addirittura resi pubblici. Esisteva un sito che pubblicava tutti gli indirizzi e-mail e le password rubate. Ora è chiuso, e il gestore è stato arrestato in Canada all’inizio del 2018.
Gli autori di questa truffa hanno quasi sicuramente lavorato su questi dati ed hanno iniziato ad inviare i messaggi, comunicando deliberatamente la password per rendere più credibile il tutto.
Cosa dovresti fare ora
Già ho scritto chiaramente che non devi pagare nulla.
Ma ora dovresti concentrarti sulle password, questo si che è un problema reale.
- Effettua la ricerca di tuoi account compromessi su haveibeenpwned.com, verificando quali tuoi account siano stati violati nel tempo
- Cambia immediatamente le password per questi account se non lo hai già fatto
- Se hai utilizzato la stessa password anche per altri siti / servizi online, cambiala
- Utilizza password diverse per i vari profili ed account. Utilizza password robuste.
- Cerca di utilizzare sempre l’autenticazione a due fattori. A titolo di esempio, ecco come funziona per facebook e per gmail.
Conclusioni
I truffatori non riposano mai. Questo tentativo è ben congegnato e temo che ce ne saranno altri con tecniche simili.
Confesso: quando ho visto una mia vecchia password nell’oggetto dell’email ho avuto un attimo di panico. Perciò mi rendo conto che persone con poche competenze possano abboccare.
Sembra infatti che questi criminali siano già riusciti ad ottenere 50.000 Dollari con questa truffa.
Tieni gli occhi aperti, utilizza password robuste e, nel dubbio, niente panico e chiedi sempre a qualche persona più esperta di te.
Infine: non pagare mai, nemmeno se la cosa sembra credibile.