Hacker e cybercriminali non smettono mai di provare a danneggiare gli utenti del Web, ma a volte lo fanno in modo un po’ goffo: non hanno nulla in mano, ma fanno grandi minacce. Strategia poco efficace, ma che sui grandi numeri può portare a qualche risultato. Ad esempio nel caso di una storica truffa che, da qualche settimana, i criminali del Web hanno rilanciato: il finto ricatto via email, con richiesta di pagamento in bitcoin.
Detta in una sola parola è phishing, allo stato puro: vengono inviate migliaia di email sperando che qualcuno abbocchi. Un po’ più tecnicamente, invece, si tratta di “sextortion“, cioè di tentativi di estorsione puntando sul sesso. La struttura della truffa è abbastanza semplice: una email in cui il truffatore ci dice che ha infettato il nostro computer o smartphone con un trojan, un virus per spiarci, che ha accesso alla webcam. Tramite la webcam ci ha spiati mentre ci masturbiamo davanti ad un video porno. Quindi, continua l’email, o paghiamo o manderà in giro il video distruggendo la nostra reputazione. Questa truffa, di solito, viene tentata con due diversi messaggi in italiano o in inglese.
Il ricatto via e-mail che contiene la tua pssword nell’oggetto
La prima variante della truffa è quella con l’email che contiene una delle nostre password, che probabilmente il truffatore ha comprato sul dark web insieme a milioni di altre contenute in un database. In questi casi di solito il testo del messaggio è simile a questo:
“I know XYZ is one of your password on day of hack..
Lets get directly to the point.
Not one person has paid me to check about you.
You do not know me and you’re probably thinking why you are getting this email?
in fact, i actually placed a malware on the adult vids (adult porn) website and you know what, you visited this site to experience fun (you know what i mean).
When you were viewing videos, your browser started out operating as a RDP having a key logger which provided me with accessibility to your display and web cam.
immediately after that, my malware obtained every one of your contacts from your Messenger, FB, as well as email account.
after that i created a double-screen video. 1st part shows the video you were viewing (you have a nice taste omg), and 2nd part displays the recording of your cam, and its you.
Best solution would be to pay me $1047″
Il messaggio fa paura, perché quella è effettivamente una delle nostre password, ma la truffa è tutto un bluff: una password (che magari non è neanche quella con cui accediamo al computer o alla nostra casella di posta) non basta di certo per infettare il nostro dispositivo con un malware che può accedere alla videocamera.
Il ricatto della e-mail inviata dal tuo stesso indirizzo
Una seconda variante della stessa truffa è quella in cui l’aspirante truffatore non conosce la nostra password, ma invia il messaggio direttamente dal nostro indirizzo email. Il messaggio più o meno dice:
“Ciao!
Hai notato che ti ho inviato un’e-mail dal tuo account?
Sì, ciò significa semplicemente che ho l’accesso completo al tuo dispositivo.
È da un paio di mesi che ti tengo d’occhio.
Ti stai chiedendo come? Sei stato infettato da un malware mentre visitavi un sito web per adulti.
Forse non sai di che cosa sto parlando, ma cercherò di spiegartelo.
Attraverso il Trojan Virus, ho l’accesso completo a un PC o a qualsiasi altro dispositivo.
Ciò significa che posso controllarti in qualsiasi momento sul tuo schermo accendendo la tua telecamera e il tuo microfono, senza nemmeno che te ne accorga.
Inoltre, ho accesso all’elenco dei tuoi contatti e alla tua corrispondenza”
E poi la solita storia del filmato in cui guardiamo un video porno. Il meccanismo psicologico, quindi, è lo stesso del messaggio precedente e uguale è il bluff: la tecnica usata dal truffatore per simulare l’invio dal nostro stesso indirizzo è nota da anni e si chiama “email spoofing“.
Come evitare il furto di identità e di password online
Entrambi i messaggi sono dei bluff, quindi, ma hanno in comune una cosa: qualcuno è entrato in possesso di sufficienti nostri dati personali per tentare di truffarci. E questo, anche se la truffa è finta, non è una buona cosa.
Il furto di identità online, infatti, può portare a conseguenze ben più gravi se l’attacco è mirato e non in massa (come nel caso delle due email citate sopra). Defending yourself, however, is easy: just avoid leaving traces online by entering personal information in “public places” of the Web such as social networks or forums.
Theft of passwords, however, is a more complex issue: it usually happens when hackers manage to “pierce” the servers of a site that has many members (very often forums are the preferred victims for these attacks). In such cases the user has little to do and it is much better to prevent than to cure: changing the password often and using different passwords for all the sites we register to. A good password manager can make this much easier.
When to contact the Postal Police
In a few, very rare cases the scam is not a bluff and the criminals have actually managed to collect material that could harm us. In such cases, however, they usually give us proof of this immediately by attaching the material in question to the email.
If the material sent as an attachment to the email is actually problematic, then the best thing to do is to contact the Postal Police: this is not a mass phishing attack, but a targeted work aimed at doing damage to us.
Even in this case, however, before opening the attachments you need to be more than sure that this is the case: they could in fact contain a virus.