Truffe informatiche: cosa insegna il caso “sextortion”

Tentativo di frode USA

Un estratto del messaggio inviato ai bersagli della campagna fraudolenta USA. A differenza della campagna italiana il testo non presenta errori grammaticali e/o di punteggiatura.

L’estate del 2018 sarà ricordata dagli utenti statunitensi per una serie di truffe mirate e di “grande successo”  che sono state analizzate da Brian Krebs, giornalista investigativo ed esperto di sicurezza informatica. La truffa, che a fine settembre ha interessato anche l’Italia (migliaia le segnalazioni alla Polizia Postale), può essere utile per conoscere meglio il modus operandi degli hacker ed imparare alcune semplici precauzioni in grado di vanificarne l’operato.

L’attacco lanciato negli States è stato soprannominato sextortion, dall’unione delle parole sex + extortion. L’espediente adottato dagli hacker è abbastanza semplice: la vittima riceve una o più email in cui l’ignoto mittente afferma di aver ottenuto l’accesso al computer dell’utente ed essere in possesso di una serie di dati (cronologia del browser ma anche video acquisiti dalla webcam del sistema) che dimostrerebbero il suo chiaro interesse per siti pornografici e simili.

Che la consultazione dei portali compromettenti sia avvenuta o meno, è importante sottolineare come l’hacker sfrutti efficaci “leve” psicologiche per ingannare il bersaglio di turno. In primo luogo la minaccia di comunicare a tutti i contatti social (Twitter, Instagram etc.) le sue “passioni segrete”: nella maggior parte dei casi è facile perdere la lucidità d’innanzi alla prospettiva di essere “derisi” pubblicamente, per giunta online, ed il pagamento del riscatto (in Bitcoin) appare quindi la soluzione più logica.

In secondo luogo, per rendere più credibile il tutto, l’hacker afferma di essere in possesso delle credenziali (senza però menzionarle) che l’utente è solito utilizzare: se è riuscito ad entrare nel mio computer, potrebbe pensare la vittima, conosce sicuramente la mia password. Come affermato dalla Polizia Postale per il caso italiano, non è assolutamente possibile assumere il controllo di un computer e device collegati con un semplice messaggio di posta.

Nella compagna USA alcune vittime hanno però visto comparire le proprie password nel messaggio-ricatto. E’ il caso di approfondire meglio questo punto nel paragrafo successivo.

Personalizzare un attacco

La parola chiave che Brian Krebs pone all’attenzione dei lettori è personalizzazione:

Una panoramica dei principali furti di credenziali avvenuti tra il 2012 ed il 2018.

Una panoramica dei principali furti di credenziali avvenuti tra il 2012 ed il 2018.

le password rubate sono [un’esca classica] perché l’internauta medio non ha la minima idea di quante password [personali siano state] trafugate, [rivelate per errore], perse o rubate nel corso degli anni.

Analizzando centinaia di commenti pubblicati dagli utenti in risposta al suo post, Krebs ha riscontrato che le password menzionate dagli hacker erano nella maggior parte dei casi ancora utilizzate e per giunta su molteplici siti.

Se si considera poi che molte combinazioni erano state compromesse in occasione dell’incursione ai database Linkedin, avvenuta nel 2012, si apprende quale sia una delle cattive abitudini più diffuse online: le password, oltre ad essere complesse, devono essere periodicamente cambiate e mai riutilizzate, soprattutto dopo eventi come quelli che hanno interessato al noto social network acquistato da Microsoft – ma osservando l’immagine qui di fianco è perfettamente chiaro quante situazioni simili si siano verificate negli ultimi 6 anni.

Immaginate quanto potrebbe essere ancora più convincente una campagna [phishing] se si appoggiasse a delle password [appena rubate/trafugate – magari un furto di dati del quale la stessa compagnia non  si è ancora accorta].

Krebs ricorda poi che all’atto di registrazione su un sito (creazione di un account), i provider sono soliti annotare l’indirizzo IP dell’utente. Grazie ad alcuni servizi di terze parti disponibili in Rete, i malintenzionati in possesso degli IP possono facilmente rintracciare l’area da cui la vittima si è collegata ed allegare all’email, magari utilizzando Google Maps, una foto del quartiere in cui abita quest’ultima – una leva psicologica notevole che aiuta a legittimare il bluff.

Alcuni consigli utili

La novità degli attacchi appena descritti è rappresentata dalla password stessa che, da obiettivo dei classici attacchi phishing, diventa il mezzo per estorcere denaro.

In chiusura è opportuno elencare una serie di buone norme da seguire per evitare di cadere nella rete del phishing. Di modificare periodicamente le password e non riutilizzarle si è accennato nel paragrafo precedente, tra le altre raccomandazioni sottolineate anche da Krebs troviamo:

  • evitare di cliccare su allegati o link, anche se il messaggio sembra essere stato inviato da un contatto noto;
  • prestare attenzione al fattore temporale. Un aspetto ricorrente delle email truffa è quello di porre delle scadenze al destinatario a seguito delle quali vi saranno gravi ripercussioni. E’ il caso di mantenere la calma ed andare ad effettuare le dovute verifiche online – se si devono visitare dei siti, meglio utilizzare i segnalibri per evitare eventuali tentativi di typosquatting;
  • non rispondere alle email. Serve solo a confermare ai criminali che il tentativo d’avvicinamento è andato a buon fine e la vittima è preoccupata;
  • non pagare il riscatto.  Il pagamento del riscatto non garantisce in alcun modo che il malintenzionato onori la sua promessa (es: cancellazione del materiale trafugato etc.).

Fonti: 1, 2