L’ultimo, minaccioso Phishing

In questi giorni sto ricevendo numerose email e telefonate preoccupate da persone che mi chiedono come comportarsi di fronte ad un’email minacciosa – e perentoria – che hanno ricevuto. Si tratta in effetti di un phishing con caratteristiche tali da suscitare attenzione ed ansia in chi lo ha ricevuto.

Tutte le email che ho visionato provengono da indirizzi differenti, ma tutti con dominio @outlook.com e sono state inviate a partire da sabato scorso 21 luglio.

Il fenomeno pare essere molto diffuso in tutta Italia, al punto che mercoledì 25 luglio se ne occupato anche il Corriere della Sera, con un lungo articolo (con lancio addirittura in prima pagina) ed intervista alla direttrice della Polizia Postale Nunzia Ciardi.

Qui il testo integrale dell’articolo a pagina 18 del Corriere del 25 luglio 2018.

Quello che crea preoccupazione in chi la riceve è soprattutto l’oggetto dell’email, che è sempre del tipo: “username – password”. Ove sia lo username che la password sono reali, cioè corrispondono a quelli realmente utilizzati dal destinatario. A questo punto si scarta l’idea di cancellare il messaggio e, con un po’ di ansia, siamo indotti a leggerlo per capire meglio di cosa si tratta.

Il testo dell’email – in inglese – è più meno sempre lo stesso e ci dice, con tono perentorio (riporto qui il testo integrale):

“I am well aware 123456 (nota: ho indicato qui una password generica, in realtà quella che appare è proprio una password reale, che il destinatario usa, o ha usato) one of your pass. Lets get right to the point. You don’t know me and you’re probably thinking why you’re getting this mail? Neither anyone has compensated me to check you.

Well, I placed a software on the xxx streaming (adult porn) web-site and guess what, you visited this website to experience fun (you know what I mean). While you were viewing videos, your internet browser started out operating as a RDP having a key logger which provided me with accessibility to your display as well as cam. after that, my software program gathered your entire contacts from your Messenger, FB, as well as e-mailaccount. Next I created a video. First part shows the video you were watching (you have a nice taste lol . . .), and 2nd part displays the recording of your web camera, yea its you.

You do have two options. Lets study the possibilities in details:

1st option is to skip this e mail. In this instance, I am going to send out your actual video recording to almost all of your contacts and just consider regarding the humiliation you can get. And as a consequence if you are in a relationship, how it will eventually affect?

Number 2 solution will be to give me $3000 (nota: la cifra varia da 1.000 a 7.000 dollari, nelle varie email che ho visto). Lets think of it as a donation. Subsequently, I most certainly will instantly eliminate your videotape. You will continue on your daily routine like this never happened and you would never hear back again from me.

You will make the payment by Bitcoin (if you do not know this, search for “how to buy bitcoin” in Google search engine).

BTC Address to send to: 1MAuqAJNHgZZ2FfPbXUrE9BXBkQXGcCiKQ
[case SENSITIVE copy & paste it]

If you may be thinking of going to the law, okay, this message cannot be traced back to me. I have taken care of my steps. I am also not attempting to charge a fee much, I just like to be rewarded. You now have one day in order to pay. I’ve a unique pixel within this message, and now I know that you have read this e-mail. If I do not get the BitCoins, I will, no doubt send out your video to all of your contacts including family members, co-workers, and so forth. However, if I receive the payment, I’ll erase the recording right away. If you want evidence, reply Yeah and I will certainly send out your video to your 9 friends. This is a non:negotiable offer, thus do not waste my personal time and yours by replying to this email.”

L’email è indirizzata sempre ad una persona di sesso maschile, a cui si dice che ha visitato un sito porno “xxx streaming (adult porn) web-site” (ma non si specifica quale sia il sito).  Chi scrive sostiene di aver inserito (nel sito porno) un software in grado di vedere quello la vittima ha fatto (“you know what I mean”). Si aggiungono poi altre affermazioni, più o meno minacciose, per spiegare che tutto è stato tracciato e filmato.

Come ulteriore intimidazione, lo scrivente aggiunge che si è impossessato della lista dei contatti Messenger, Facebook ed email.

A questo punto arriva perentoria la richiesta di denaro (che va da 1.000 fino a 7.000 dollari), da versare sul conto Bitcoin indicato. E si precisa che “l’offerta non è negoziabile”. La minaccia è chiara: se non sarà eseguito il pagamento, il video (?) sarà inviato a tutti i nostri contatti, inclusi amici, familiari e colleghi di lavoro. Viceversa, in caso di pagamento, il video sarà cancellato (bontà loro!).

Non mi stupisce che di fronte ad una siffatta email, la persona sia spaventata e dubbiosa sul da farsi.

DI COSA SI TRATTA?

È palesemente un’email di phishing, che dimostra la fantasia e lo spirito di iniziativa dei cyber criminali.

Ho esaminato gli username citati nell’oggetto delle varie email: provengono tutti dal famoso data breach di LinkedIn del 2012, come si può verificare grazie all’ottimo sito https://haveibeenpwned.com, creato dall’esperto di cybersecurity australiano Troy Hunt.

Il data breach di LinkedIn risale al 2012, ma fu rilanciato nel 2016, quando furono messe in vendita nel Darkweb (da parte di un hacker di nome Peace) addirittura 164 milioni di credenziali rubate nel 2012.

A questo punto il gioco sembra chiaro: chi ha scritto queste email (quante non si sa, ma potrebbero essere migliaia!) le ha spedite agli indirizzi email che ha trovato nel data breach di LinkedIn, ove evidentemente erano note anche le rispettive password. E tenta, con argomenti minacciosi e palesemente millantati, di convincere la vittima a pagare per evitare scandali e danni reputazionali.

Ho verificato poi sul sito https://www.blockchain.com lo stato dei conti Bitcoin indicati per il pagamento del “riscatto” (ne elenco alcuni):

1MAuqAJNHgZZ2FfPbXUrE9BXBkQXGcCiKQ

1DGH8bDsXVzXjBVGxz5qhNpGJUMT3F93ne

1GWyDokgzsJtxnNwAwKcdNxGzkgXxuWKNC

14bPdDo548ekNPLu45a7VK86YR7EFwmT52

ad oggi, lunedì 23 luglio 2018, risultano tutti senza movimenti, saldo zero. Forse il phishing non ha (ancora) trovato qualcuno che abbia abboccato? O, più probabilmente, sono stati creati molti conti bitcoin, uno per ogni email inviata.

COSA FARE?

Nulla, solo cancellare l’email ed ignorare qualsiasi altra email del genere. Hanno solo provato a fregarci, come avranno provato, “a strascico”, con chissà quanti altri.

Evitare naturalmente di interagire, rispondendo al malandrino. Anche se in realtà questo dichiara di aver inserito nell’email un pixel per il cosiddetto “pixel tracking” dell’email (“I’ve a special pixel in this email, and right now I know that you have read through this email message”).

Questa è una tecnica nota (ed assolutamente credibile), come spiegato in questo articolo tratto dal sito di LIBRA ESVA (uno dei più noti ed efficaci software antispam, made in Italy).

In pratica, viene inserita nell’email un’immagine trasparente 1×1 (normalmente un file GIF). Non è necessario cliccare sull’immagine o eseguire alcuna operazione, basta aprire l’email e l’immagine viene scaricata, inviando ad un server remoto alcune informazioni sensibili su chi l’ha ricevuta (indirizzo di posta elettronica a cui è stata inviata l’email, ora e giorno, indirizzo IP ed informazioni sul client di posta, sul browser e sul sistema operativo).

Ma questo non ci deve preoccupare, ha solo lo scopo di intimorirci ancora di più e sembrare credibile. Cancelliamo l’email e non abbocchiamo a questo ennesimo fantasioso phishing.

Per quanto mi riguarda, non ho cancellato queste email, anzi le ho aggiunte alla mia personale collezione di Phishing. Le utilizzerò nei corsi di formazione che faccio, per spiegare alle persone come evitare di incappare in queste truffe. Perché, come sempre, è il Fattore Umano l’anello debole della sicurezza!

“Il WEB è diventato un luogo pericoloso? Possiamo difenderci!”


© Copyright 2018 Giorgio Sbaraglia
All rights reserved.

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.

Una risposta a “L’ultimo, minaccioso Phishing”

  1. Ho ricevuto questa email e, francamente, ero molto preoccupato. Mi sono subito rivolto all’esperto di cybersecurity ing. Giorgio Sbaraglia il quale, conoscendo bene il problema specifico, mi ha tranquillizzato e mi ha fornito le indicazioni per non cadere nel tranello-ricatto di pagare 1000 dollari in bitcoin.
    Saluti MM.

Lascia un commento