È in corso una nuova ondata di messaggi fraudolenti di posta elettronica che cercano di estorcere denaro utilizzando la tecnica del sextortion e fingendo che la mail sia stata hackerata (“il tuo account è stato violato”, si legge). Nell’e-mail di phishing, i criminal hacker informano la vittima designata di aver violato il suo dispositivo filmandola dalla webcam mentre guardava contenuti pornografici su Internet e chiedono un riscatto di 530 euro per non divulgare quanto accaduto. La vittima è obbligata a pagare in Bitcoin entro 48 ore dall’apertura dell’email o il cyber criminale invierà il video incriminante a tutti i contatti che è riuscito a rubare dal dispositivo infetto. L’ultima novità è che i messaggi appaiono anche in italiano, segno che i criminali stanno colpendo con più forza il nostro Paese. In alcuni casi appare come mittente un nome noto al destinatario e si invita ad aprire una immagine (“controlla l’immagine allegata”), che contiene il testo della mail e un QRCode, il quale poi porta all’indirizzo bitcoin per il pagamento ma anche spesso al download di malware sul dispositivo dell’utente. Come in passato, la particolarità della truffa – che ha rimesso in allarme utenti e aziende – è la tecnica estorsiva utilizzata. Il mittente del messaggio risulta essere il proprietario della casella di posta (salvo recenti casi dove invece – come detto – il mittente è un nome noto al destinatario), che lo trova quindi – oltre che nella posta in arrivo – anche nella sua cartella dei messaggi inviati, esattamente come se l’avesse inviato lui stesso o… un fantomatico hacker introdottosi nella sua mailbox. Vediamo che cosa dovremmo imparare, a casa e in azienda, da questa truffa, per migliorare la nostra sicurezza informatica.
Indice degli argomenti
La truffa della finta “mail hackerata” (“il tuo account è stato violato”)
Il truffatore si presenta alla vittima come “qualcuno che ha hackerato i suoi dispositivi qualche mese fa” che si è preso la briga d’installare un malware su uno dei siti per adulti visitati dalle vittime. Per rendere il tutto più credibile, il criminal hacker comunica alla vittima che “il suo browser ha funzionato come RDP (Remote Control) con un keylogger che mi ha permesso di accedere alla sua schermata alla sua webcam“. A questo punto, parte la vera e propria estorsione ai danni del malcapitato: il criminale informatico, infatti, lo informa del fatto che “il mio software ha raccolto tutte le informazioni inclusi i suoi contatti e i file” mettendoli al sicuro su un server remoto. La vittima viene quindi intimorita dal fatto che il criminal hacker è in possesso della rubrica (“il tuo account è stato violato”) e della corrispondenza della vittima, di avere accesso alle sue reti sociali, alle chat e di aver persino un backup completo di tali dati. Leggendo il testo dell’e-mail la vittima scopre anche che l’hacker si sarebbe prodigato a registrare i video per adulti che sono stati riprodotti – che il criminale commenta con un “hai un buon gusto, haha… 🙂”. Sì, perché ora viene fuori l’intento criminale: nessuno vuole che i propri segreti vengano resi noti, mentre il delinquente è proprio lì che vuole arrivare. Per fermarlo, è sufficiente versare la modica somma di 530 euro in bitcoin, suggerendo alla vittima di fare una ricerca su Google se non sa come si fa. La mail si conclude con un bonario “Non sia arrabbiato con me, ognuno ha il proprio lavoro”. Ovviamente chi riceve il messaggio non la prende bene, si fa intimidire, si preoccupa dei suoi dati (o delle sue eventuali attività su siti “privati”) e in parte paga, in parte cerca online di capire di cosa si tratta, in parte segnala alla Polizia Postale.
Cosa è successo? No, l’account non è stato violato
All’arrivo di queste mail, privati e aziende sono spesso corsi ai ripari facendo analizzare i server e le caselle di posta in cerca di tracce del presunto attacco, che dovrebbe aver permesso ai criminali d’inviare il messaggio utilizzando la mailbox che si presume “hackerata”.
La posta inviata ci sta fuorviando?
Un aspetto che può sembrare così banale, quindi, rende pienamente “credibile” l’intera minaccia, causando allarmismo e spesso convincendo le vittime più deboli a procedere con il pagamento del riscatto in bitcoin, Vedendo il messaggio nella posta inviata, infatti, gli utenti si convincono che il fantomatico hacker abbia effettivamente avuto accesso alla loro mailbox, avendola quindi utilizzata per il messaggio a se stessi. Per osservare un esempio di questo fenomeno, analizziamo il messaggio arrivato direttamente allo scrivente, proprio durante la redazione del presente articolo. Si consideri come in origine la mail fosse stata inserita nella cartella dello spam e successivamente ripristinata dallo scrivente per simulare una situazione “standard” nella quale il filtro non avesse rilevato anomalie: Il messaggio ricevuto compare nella posta “Inviati”, esattamente come se l’avesse inviato lo scrivente o qualcuno in possesso delle credenziali segrete. Per un utente poco avvezzo alla tecnologia, vedere un messaggio scritto dal proprio account salvato nella posta inviata è un immediato segno di allarme. La prima frase della mail, poi, fuga ogni dubbio precisando proprio che l’account “è stato hackerato, perché è da lì che ho inviato questo messaggio”. Osservando anche le intestazioni RFC822, si nota come il campo “From:” sia identico al campo “To:”, così come avviene per le mail che inviamo a noi stessi. Inoltre, i criminali vogliono far credere al server di posta di aver utilizzato “Outlook Express” per inviare il messaggio, così da rendere plausibile un invio a se stessi e convincere il server a catalogare la mail anche come inviata e non soltanto come ricevuta. Questo in realtà è un comportamento – tecnicamente corretto – dei programmi di posta elettronica e delle webmail che, quando catalogano un messaggio che ha come mittente il proprietario della casella, desumono che sia stato da esso inviato, collocandolo quindi fra la posta uscita. Questo avviene anche se in realtà il messaggio è arrivato dall’esterno, quindi creato artificiosamente, mentre il comportamento è pensato per quando gli utenti inviano mail attraverso client di posta, utilizzando quindi SMTP eventualmente congiunto con IMAP, senza passare tramite webmail.
Cosa possiamo o dobbiamo fare?
Sostanzialmente non c’è bisogno di fare nulla, se non cancellare la mail. E’ possibile che più passa il tempo maggiormente i provider saranno in grado di catalogare questo tipo di mail come spam e archiviarli direttamente nell’apposita cartella relativa allo spam. Per dovere civico, se chi riceve la mail ne sente la necessità, può sporgere denuncia o inviare segnalazione tramite il portale della Polizia Postale. Per completezza, consigliamo di esportare il messaggio integrale dalla casella di posta elettronica, selezionando la visualizzazione del codice sorgente (chiamato tecnicamente “RFC822”) e salvando il tutto in formato EML, TXT o MSG, così da mantenere inalterati gli “header” del messaggio che permettono di capire da quale indirizzo IP è stato inviato e con quale modalità. Rammentiamo che, se ad aver ricevuto il messaggio è un’azienda, è necessario valutare con attenzione l’attendibilità del messaggio, poiché la segnalazione stessa potrebbe essere interpretata come una ammissione di un data breach e come tale andrebbe opportunamente valutato e trattato in base al contesto. I criminali affermano infatti di essere in possesso dell’account di posta, della corrispondenza, dei messaggi e teoricamente anche del PC del dipendente, che affermano di avere infettato con un virus, materiale più che sufficiente per costituire dati che sarebbero stati da proteggere. I provider di posta potrebbero, infine, cercare di valutare con più attenzione quando una mail è davvero stata generata dal proprietario della mailbox, così da intervenire prontamente in questo tipo di truffe. In realtà, purtroppo, questo non è un compito facile e rischierebbe di generare “falsi positivi” più rischiosi della ricezione dello spam stesso. Il gestore della mailbox dovrebbe infatti esaminare le intestazioni dei messaggi per valutarne la correttezza e coerenza, incrociandoli magari con attività di login su IMAP e SMTP, cosa che tra l’altro inficiare sulla riservatezza e sulla privacy degli utenti.
Dove hanno preso gli indirizzi email?
Tranquillizzatevi sul fatto che i delinquenti non hanno avuto accesso alla propria mailbox, le vittime si chiedono a quel punto “come fa l’hacker ad avere il mio indirizzo di posta?”. Basta osservare la cartella “SPAM” della propria mailbox (dove tra l’altro buona parte dei messaggi di questo tipo dovrebbero finire) per capire come il proprio indirizzo difficilmente è sconosciuto a terzi. Spesso infatti qualcuno dei servizi dove ci siamo registrati è finito sotto attacco da parte di criminali che hanno acquisito nomi utente, email e password, creando i famosi “leak” che vengono poi utilizzati da chi tenta di accedere ad account sperando che il proprietario non abbia cambiato la password rispetto a quella riportata negli elenchi. Per verificare se il proprio indirizzo di posta è presente in uno dei “leak” a oggi noto, è sufficiente consultare servizi come Have I Been Pwned, Gotcha.pw o DeHashed, che una volta indicata la nostra email ci risponde confermandoci se e dove questa è presente.
È necessario cambiare la password?
Per quanto non abbia direttamente a che fare con il messaggio oggetto di trattazione, se il test al punto precedente è positivo – cioè se il nostro indirizzo di posta è presente all’interno degli elenchi di credenziali “rubati” online – è certamente consigliabile cambiare la propria password e soprattutto non riutilizzarla per più di un servizio. In sostanza, se si usa una parola segreta per la mail, non deve essere riutilizzata identica da nessun’altra parte, né Facebook, né Dropbox o altri servizi. Aggiungiamo, tra l’altro, che sarebbe buona pratica cambiare periodicamente le proprie password, proprio per evitare che episodi come quelli dei “leak” mettano a rischio i nostri account. Se possibile, sui servizi che lo offrono, consigliamo di attivare anche l’autenticazione a due fattori, così da ricevere a ogni nuovo accesso una notifica via SMS o App per smartphone contenente il codice per confermare la propria identità.
“Controlla l’immagine allegata” e mittente noto
Quando invece c’è un oggetto “controlla l’immagine allegata” si può vedere un mittente noto al destinatario-bersaglio del phishing. E’ possibile perché in automatico i truffatori utilizzano, come mittente, un nome pescato dalla rubrica di un computer infetto. Ma, come avveniva con i worm anni 90, a essere infetto non è il computer di quello che risulta essere il mittente. Altrimenti il destinatario potrebbe chiamarlo e avvisarlo che il suo computer è infetto. Quello che succede, invece, è che i truffatori utilizzano la rubrica di un terzo computer violato e qui pescano sia il nome del mittente (fasullo) sia quello del destinatario a cui mandare la mail. L’utente contagiato è quindi in comune tra questi due. L’immagine .png allegata contiene il testo della mail (per sfuggire così all’anti spam), con il solito messaggio ricattatorio. C’è anche un QR Code che il malvivente chiede di utilizzare con Bitpay.com per avviare il pagamento del riscatto. In certi casi, si riporta che il QR Code fa anche avviare il download di un malware. Articolo pubblicato originariamente il 21 settembre 2018 e aggiornato con i dettagli della nuova campagna di sextortion in atto in questi giorni.
