Continuano i “porno ricatti” via mail

Continuo a ricevere numerose email e telefonate da persone preoccupate che mi chiedono come comportarsi di fronte ad un’email minacciosa – e perentoria – che hanno ricevuto. Si tratta in effetti di un phishing con caratteristiche tali da suscitare attenzione ed ansia in chi lo ha ricevuto.

Questo fenomeno è comparso a partire dallo scorso luglio 2018.

Per questo – e soprattutto per dare una risposta ai tanti che mi chiedevano cosa fare – scrissi questo articolo il 23 luglio 2018. Lo richiamo qui, ma aggiungendo ora alcuni utili aggiornamenti, perché questi tentativi di truffa stanno continuando con modalità differenziate.

L’articolo di luglio 2018

Tutte le email che ho visionato provengono da indirizzi differenti, ma tutti con dominio @outlook.com e sono state inviate a partire da sabato 21 luglio 2018.

Il fenomeno pare essere molto diffuso in tutta Italia, al punto che mercoledì 25 luglio se ne occupato anche il Corriere della Sera, con un lungo articolo (con lancio addirittura in prima pagina) ed intervista alla direttrice della Polizia Postale Nunzia Ciardi.

Qui il testo integrale dell’articolo a pagina 18 del Corriere del 25 luglio 2018.

Quello che crea preoccupazione in chi la riceve è soprattutto l’oggetto dell’email, che è sempre del tipo: “username – password”. Ove sia lo username che la password sono reali, cioè corrispondono a quelli realmente utilizzati dal destinatario. A questo punto si scarta l’idea di cancellare il messaggio e, con un po’ di ansia, siamo indotti a leggerlo per capire meglio di cosa si tratta.

Il testo dell’email – in inglese – è più meno sempre lo stesso e ci dice, con tono perentorio (riporto qui il testo integrale):

“I am well aware 123456 (nota: ho indicato qui una password generica, in realtà quella che appare è proprio una password reale, che il destinatario usa, o ha usato) one of your pass. Lets get right to the point. You don’t know me and you’re probably thinking why you’re getting this mail? Neither anyone has compensated me to check you.
Well, I placed a software on the xxx streaming (adult porn) web-site and guess what, you visited this website to experience fun (you know what I mean). While you were viewing videos, your internet browser started out operating as a RDP having a key logger which provided me with accessibility to your display as well as cam. after that, my software program gathered your entire contacts from your Messenger, FB, as well as e-mailaccount. Next I created a video. First part shows the video you were watching (you have a nice taste lol . . .), and 2nd part displays the recording of your web camera, yea its you. You do have two options. Lets study the possibilities in details:
1st option is to skip this e mail. In this instance, I am going to send out your actual video recording to almost all of your contacts and just consider regarding the humiliation you can get. And as a consequence if you are in a relationship, how it will eventually affect?
Number 2 solution will be to give me $3000
(nota: la cifra varia da 1.000 a 7.000 dollari, nelle varie email che ho visto). Lets think of it as a donation. Subsequently, I most certainly will instantly eliminate your videotape. You will continue on your daily routine like this never happened and you would never hear back again from me. You will make the payment by Bitcoin (if you do not know this, search for “how to buy bitcoin” in Google search engine).
BTC Address to send to: 1MAuqAJNHgZZ2FfPbXUrE9BXBkQXGcCiKQ

[case SENSITIVE copy & paste it]
If you may be thinking of going to the law, okay, this message cannot be traced back to me. I have taken care of my steps. I am also not attempting to charge a fee much, I just like to be rewarded. You now have one day in order to pay. I’ve a unique pixel within this message, and now I know that you have read this e-mail. If I do not get the BitCoins, I will, no doubt send out your video to all of your contacts including family members, co-workers, and so forth. However, if I receive the payment, I’ll erase the recording right away. If you want evidence, reply Yeah and I will certainly send out your video to your 9 friends. This is a non:negotiable offer, thus do not waste my personal time and yours by replying to this email.”

L’email è indirizzata sempre ad una persona di sesso maschile, a cui si dice che ha visitato un sito porno “xxx streaming (adult porn) web-site” (ma non si specifica quale sia il sito).  Chi scrive sostiene di aver inserito (nel sito porno) un software in grado di vedere quello la vittima ha fatto (“you know what I mean”). Si aggiungono poi altre affermazioni, più o meno minacciose, per spiegare che tutto è stato tracciato e filmato.

Come ulteriore intimidazione, lo scrivente aggiunge che si è impossessato della lista dei contatti Messenger, Facebook ed email.

A questo punto arriva perentoria la richiesta di denaro (che va da 1.000 fino a 7.000 dollari), da versare sul conto Bitcoin indicato. E si precisa che “l’offerta non è negoziabile”. La minaccia è chiara: se non sarà eseguito il pagamento, il video (?) sarà inviato a tutti i nostri contatti, inclusi amici, familiari e colleghi di lavoro. Viceversa, in caso di pagamento, il video sarà cancellato (bontà loro!).

Non mi stupisce che di fronte ad una siffatta email, la persona sia spaventata e dubbiosa sul da farsi.

DI COSA SI TRATTA?

È palesemente un’email di phishing, che dimostra la fantasia e lo spirito di iniziativa dei cyber criminali.

Ho esaminato gli username citati nell’oggetto delle varie email: provengono tutti dal famoso data breach di LinkedIn del 2012, come si può verificare grazie all’ottimo sito https://haveibeenpwned.com, creato dall’esperto di cybersecurity australiano Troy Hunt.

Homepage del sito https://haveibeenpwned.com

Il data breach di LinkedIn risale al 2012, ma fu rilanciato nel 2016, quando furono messe in vendita nel Darkweb (da parte di un hacker di nome Peace) addirittura 164 milioni di credenziali rubate nel 2012.

Le informazioni sul databreach di Linkedin (da https://haveibeenpwned.com)

A questo punto il gioco sembra chiaro: chi ha scritto queste email (quante non si sa, ma potrebbero essere migliaia!) le ha spedite agli indirizzi email che ha trovato nel data breach di LinkedIn, ove evidentemente erano note anche le rispettive password. E tenta, con argomenti minacciosi e palesemente millantati, di convincere la vittima a pagare per evitare scandali e danni reputazionali.

Ho verificato poi sul sito https://www.blockchain.com lo stato dei conti Bitcoin indicati per il pagamento del “riscatto” (ne elenco alcuni):

ad oggi, lunedì 23 luglio 2018, risultano tutti senza movimenti, saldo zero. Forse il phishing non ha (ancora) trovato qualcuno che abbia abboccato? O, più probabilmente, sono stati creati molti conti bitcoin, uno per ogni email inviata.

COSA FARE?

Nulla, solo cancellare l’email ed ignorare qualsiasi altra email del genere. Hanno solo provato a fregarci, come avranno provato, “a strascico”, con chissà quanti altri.

Evitare naturalmente di interagire, rispondendo al malandrino. Anche se in realtà questo dichiara di aver inserito nell’email un pixel per il cosiddetto “pixel tracking” dell’email (“I’ve a special pixel in this email, and right now I know that you have read through this email message”).

Questa è una tecnica nota (ed assolutamente credibile), come spiegato in questo articolo tratto dal sito di LIBRA ESVA (uno dei più noti ed efficaci software antispam, made in Italy).

In pratica, viene inserita nell’email un’immagine trasparente 1×1 (normalmente un file GIF). Non è necessario cliccare sull’immagine o eseguire alcuna operazione, basta aprire l’email e l’immagine viene scaricata, inviando ad un server remoto alcune informazioni sensibili su chi l’ha ricevuta (indirizzo di posta elettronica a cui è stata inviata l’email, ora e giorno, indirizzo IP ed informazioni sul client di posta, sul browser e sul sistema operativo).

Ma questo non ci deve preoccupare, ha solo lo scopo di intimorirci ancora di più e sembrare credibile. Cancelliamo l’email e non abbocchiamo a questo ennesimo fantasioso phishing.

Per quanto mi riguarda, non ho cancellato queste email, anzi le ho aggiunte alla mia personale collezione di Phishing. Le utilizzerò nei corsi di formazione che faccio, per spiegare alle persone come evitare di incappare in queste truffe.

Aggiornamento ad aprile 2019

Dopo la “prima ondata” che ho raccontato nell’articolo di luglio 2018, la truffa dei porno ricatti via email si è ripresentata sotto altre forme, tutte abbastanza simili, che denotano l’inesauribile fantasia dei cybercriminali.

L’obbiettivo è sempre lo stesso: spaventare la potenziale vittima facendogli credere di aver preso possesso del suo account di posta ed averlo registrato mentre “navigava sui siti porno”. E ovviamente chiedere un riscatto in Bitcoin per non divulgare il filmato “compromettente”.

Dallo scorso settembre ho visto numerose email, molte delle quali questa volta in italiano, che risultavano partite dall’indirizzo della vittima. La quale – a questo punto – avrà il timore che la sua casella di posta sia stata violata. In questa variante, dunque, non si cerca di spaventare la persona mostrando di conoscere una sua password (vera), ma dimostrando che si è riusciti ad hackerare la sua posta.

I messaggi sono – più o meno, con alcune varianti – di questo tenore:

Ciao! Come avrai notato, ti ho inviato un’email dal tuo account. (e questo immediatamente crea apprensione a chi la riceve!). Ciò significa che ho pieno accesso al tuo account. Ti sto guardando da alcuni mesi. Il fatto è che sei stato infettato da malware attraverso un sito per adulti che hai visitato. Se non hai familiarità con questo, ti spiegherò. Virus Trojan mi dà pieno accesso e controllo su un computer o altro dispositivo. Ciò significa che posso vedere tutto sullo schermo, accendere la videocamera e il microfono, ma non ne sai nulla. Ho anche accesso a tutti i tuoi contatti e tutta la tua corrispondenza.Perché il tuo antivirus non ha rilevato il malware?
Risposta: il mio malware utilizza il driver, aggiorno le sue firme ogni 4 ore in modo che Il tuo antivirus era silenzioso.
Ho fatto un video che mostra come ti accontenti nella metà sinistra dello schermo, e nella metà destra vedi il video che hai guardato.
Con un clic del mouse, posso inviare questo video a tutte le tue e-mail e contatti sui social network.
Posso anche postare l’accesso a tutta la corrispondenza e ai messaggi di posta elettronica che usi. Se vuoi impedirlo, trasferisci l’importo di 200€ al mio indirizzo bitcoin (se non sai come fare, scrivi a Google: “Compra Bitcoin”).
Il mio indirizzo bitcoin (BTC Wallet) è:  1PWMVBQVS51Ej4RobUZ3EQnUa7vPof1XGd.
Dopo aver ricevuto il pagamento, eliminerò il video e non mi sentirai mai più. Ti do 48 ore per pagare. Non appena apri questa lettera, il timer funzionerà e riceverò una notifica. Presentare un reclamo da qualche parte non ha senso perché questa email non può essere tracciata come e il mio indirizzo bitcoin. Non commetto errori! Se scopro di aver condiviso questo messaggio con qualcun altro, il video verrà immediatamente distribuito.
Auguri!

Come vediamo, il ricatto è sempre lo stesso, cambiano solamente alcune condizioni al contorno:

  • l’email è in italiano, evidentemente i cybercriminali hanno preso di mira il nostro Paese, dove la consapevolezza informatica è notoriamente bassa. Per questo l’email contiene una serie di “minacce informatiche” che sono solo dei bluff (ma in grado di spaventare un utente poco esperto).
  • l’elemento “intimidatorio” non è la conoscenza della nostra password, ma la minaccia di aver preso possesso della nostra casella email. Per molti utenti un messaggio scritto dal proprio account rappresenta una minaccia reale, perchè non conoscono le tecniche di “spoofing”. Esaminando l’Header dell’email ricevuta potremmo capire che il vero mittente non siamo noi (ma questo esame richiede competenze informatiche che pochi utenti hanno).
  • l’importo del riscatto si è sensibilmente abbassato: dalle migliaia di dollari a poche centinaia di euro. I cybercriminali fanno anche valutazioni “commerciali”: meglio chiedere pochi soldi a tanti… qualcuno, per debolezza o insicurezza pagherà, temendo guai peggiori.

Non dobbiamo in realtà temere alcun ricatto e possiamo serenamente cancellare le email di questi truffatori. La millantata affermazione che “ho pieno accesso al tuo account“, giustificato dal fatto che il mittente coincide con il destinatario, è un banale esempio di SPOOFING, ne parlo in dettaglio in questi miei articoli:

L’email ai tempi di Snowden: usare la posta crittografata

Truffe via mail: la Business Email Compromise

Chiunque, con conoscenze informatiche neppure troppo avanzate, può essere in grado di inviare un’email falsificando il nome del mittente. Questa tecnica (nota appunto come “spoofing“) è semplice , ma poco conosciuta dalla maggior parte degli utenti. Viene usata con successo anche nella truffa BEC (Business Email Compromise), di cui parlo nell’articolo sopra citato. E non stupiamoci che qualche malintenzionato conosca la nostra email: basta vedere tutto lo spam che riceviamo quotidianamente per rendersi conto di quanto i nostri indirizzi di posta siano “di dominio pubblico” (talvolta anche grazie alla nostra disattenzione nel comunicarle…).

È opportuno cambiare la password dell’account email?

In teoria non sarebbe necessario, perchè l’account non è stato violato.

In ogni caso, questo evento può diventare un’utile opportunità per verificare la sicurezza del proprio account, mettendo in atto le misure di sicurezza per le password, di cui parlo dettagliatamente in questo articolo. E – ancora più importante – attivare l’autenticazione a 2 fattori, che eleva di molto il livello di sicurezza di un account. Ne parlo in questo articolo.

Sarà inoltre consigliabile interrogare il sito https://haveibeenpwned.com,  inserendo il proprio indirizzo email, per controllare che non sia finito in qualche “leak” (cioè che sia presente in qualcuno dei tanti database di account violati: ad oggi il sito di Troy Hunt ne contiene ben 7,840,611,051). È sufficiente digitare il proprio username e cliccare sul pulsante “pwned?” per sapere se il nostro email address è stato coinvolto in qualche incidente informatico. Se così fosse, la schermata diventa rossa e compare la scritta “Oh no — pwned!”. E vengono elencati i “Breaches you were pwned in”, gli incidenti nei quali il nostro account è finito. Con il consiglio, ovvio, di cambiare subito la password dell’account violato!

IN CONCLUSIONE

Queste truffe continueranno, in questa forma o in altre che i cybercriminali si inventeranno. Sono in fondo piuttosto rudimentali e facilmente riconoscibili. Non devono preoccuparci, ma a condizione di tener sempre alta l’attenzione. Dobbiamo essere consapevoli che questi attacchi cercano di fare leva sulle debolezze umane.

Perchè, citando il famoso Kevin Mitnick:

“Il fattore umano è veramente l’anello più debole della sicurezza”
(“The Art of Deception” – 2002)

© Copyright 2019 Giorgio Sbaraglia
All rights reserved.

Licenza Creative Commons


Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Lascia un commento