La parola “sextortion” è un neologismo inglese nato dalla crasi tra sex ed extortion, sesso ed estorsione. In pratica, serve ad indicare un ricatto sessuale realizzato attraverso il web.
La Sextortion è un fenomeno in costante ascesa in Italia e nel Mondo: di cosa si tratta, lo spiega la Polizia Postale sulla sua pagina Facebook “Una vita da social”.
Indice degli argomenti
Sextortion: come si manifesta
Si tratta di una pratica usata da cyber criminali per estorcere denaro alle vittime, che sono soprattutto uomini (ma la truffa può colpire anche le donne).
La tecnica è abbastanza semplice (ma evidentemente efficace): la vittima viene contattata via Facebook (o su altri social media) da una persona che crea un profilo falso con foto di donne o uomini avvenenti: sono esche sessuali.
Dopo che tra l’adescatore e la vittima è nato un rapporto confidenziale, la conversazione si sposta su Skype (o su una qualsiasi altra applicazione di chat e messaggistica istantanea).
La donna si spoglia e chiede al suo interlocutore di fare lo stesso, ovviamente davanti alla webcam, con lo scopo di ottenere una nutrita collezione di foto e video osé.
A questo punto − raggiunto lo scopo − la scena cambia: la donna sparisce e al suo posto compare una richiesta di riscatto.
Sembra incredibile, ma molti ci cascano.
E la richiesta di riscatto (via money transfer e sempre più spesso anche in Bitcoin) viene resa più forte con la minaccia di pubblicare le immagini compromettenti sul social network. E si tratta di una minaccia reale, perché la vittima ha concesso l’amicizia all’adescatore, quindi questo ora conosce la lista di tutti i suoi contatti.
Le vittime vengono scelte in base alla loro situazione familiare e alla carica che ricoprono (per esempio un uomo sposato con figli o un professionista sono tra le vittime preferite). Questo persone offrono teoricamente ai criminal hacker una maggiore “garanzia” per il pagamento del riscatto senza denunciare l’accaduto per nascondere le foto e i video.
La sextortion è in Italia un reato in crescita esponenziale, le cui vittime sono prevalentemente persone di sesso maschile (nel 2017 gli uomini sono stati il 92%) di ogni età ed estrazione sociale.
A partire dal 2013 si è registrata una media di circa tre casi al giorno, con un aumento delle denunce di oltre il 500% nei tre anni successivi. La Polizia Postale e delle Comunicazioni ha dedicato a questo fenomeno un pool investigativo ad hoc sin dal 2015.
Le denunce sono aumentate dalle 225 del 2013 a 1.190 nel 2014 e poi 1.288 del 2015, per arrivare a 1.324 del 2016.
La provincia di Bologna nel 2016 è stata quella nella quale è stato presentato il maggior numero di denunce (146); seguita da Milano (140) e Roma (136).
Nel 2017 si è registrata una prima flessione, con 1.041 casi.
Sono numeri preoccupanti, soprattutto se pensiamo che potrebbero essere moltiplicati di 10 volte se è vero, come ritiene la Polizia, che solo il 10% delle vittime presenta denuncia, per timore di uno scandalo o per vergogna.
Sextortion: come evitare di cadere nella truffa
Questi profili fasulli hanno alcune caratteristiche che dovrebbero destare subito qualche sospetto: in genere sono praticamente “vuoti”, scorrendoli non si trova una storia, né post precedenti. C’è la foto di una bella ragazza, che si presenta come “Single” e poco più.
Molto spesso sono profili gestiti non da persone, ma da “bot” (chatbot) in grado di intavolare una banale discussione in chat, ma che falliscono nel rispondere a domande complesse e in genere si esprimono per frasi fatte: “ok”, “mi chiamo Chantal”, “vivo a Nantes”, “faccio la fioraia”, “ho voglia di sesso” eccetera.
Il fatto che nel profilo sia indicata una laurea conseguita all’università di Bordeaux, per poi andare a fare la fioraia a Marsiglia potrebbe insospettire, ma quando addirittura dopo poche battute in chat ti chiedono di fare sesso virtuale, lo scopo dovrebbe diventare evidente a chiunque.
Ci sono poi altri elementari accorgimenti per non rimanere vittima della truffa del sextortion:
- evitare di dare “amicizia” a persone che non si conoscono. Il fatto che qualche nostro contatto compaia nella lista delle “amicizie in comune” non significa nulla: potrebbe esserci cascato anche lui. E noi potremmo, accettando l’amicizia, indurre in errore qualche altro nostro amico;
- verificare (attraverso Google, sezione Immagini) la foto (probabilmente rubata) dell’avvenente signorina che ci ha contattato: Google ci proporrà una serie di volti e di link associati alla sua foto, da cui probabilmente vedremo che quella foto appartiene a tutt’altra persona;
- come ci ripetevano sempre le nostre mamme: “non accettare le caramelle dagli sconosciuti”. Nel caso della truffa del sextortion: diffidiamo sempre dai contatti sconosciuti.
Sextortion: l’attacco attraverso le e-mail
Un nuovo tipo di sextortion molto più diffuso e aggressivo è apparso nel 2018 ed ancora oggi continua a manifestarsi ad ondate successive, in varianti diverse ma sostanzialmente simili.
La prima ondata si è registrata a luglio 2018 ed ha avuto tale diffusione da meritarsi un articolo (con lancio addirittura in prima pagina) sul Corriere della Sera del 25 luglio 2018.
Il porno ricatto veniva fatto con una e-mail che diceva sostanzialmente: “Ho violato il tuo computer, ti ho ripreso mentre andavi sui siti porno ed ora voglio soldi per non pubblicare il filmato”.
Quello che – in questa prima ondata – creava preoccupazione in chi la riceveva era soprattutto l’oggetto dell’e-mail, che era sempre del tipo: “username – password”. Dove sia lo username che la password erano autentici, cioè corrispondenti a quelli realmente utilizzati dal destinatario.
A questo punto si scarta l’idea di cancellare il messaggio e, con un po’ di ansia, si è indotti a leggerlo per capire meglio di cosa si tratta.
L’e-mail è indirizzata sempre ad una persona di sesso maschile, a cui viene comunicato di essere stato spiato mentre visitava un sito porno “xxx streaming (adult porn) web-site” (ma non si specifica quale sia il sito).
Chi ha scritto il testo dell’e-mail sostiene di aver inserito (nel sito porno) un software in grado di vedere quello che la vittima ha fatto (“you know what I mean”). Si aggiungono poi altre affermazioni, più o meno minacciose, per spiegare che tutto è stato tracciato e filmato.
Come ulteriore intimidazione, lo scrivente aggiunge che si è impossessato della lista dei contatti Messenger, Facebook ed e-mail.
A questo punto arriva perentoria la richiesta di denaro (che va da 1.000 fino a 7.000 dollari), da versare sul conto Bitcoin indicato. E si precisa che “l’offerta non è negoziabile”. La minaccia è chiara: se non sarà eseguito il pagamento, il video (?) sarà inviato a tutti i nostri contatti, inclusi amici, familiari e colleghi di lavoro. Viceversa, in caso di pagamento, il video sarà cancellato (bontà loro).
Non stupisce che di fronte ad una siffatta e-mail, la persona sia spaventata e dubbiosa sul da farsi, soprattutto per la dichiarata conoscenza della password da parte del malfattore.
Come fanno ad avere la mia password?
I data breach che negli anni hanno violato tanti siti web, hanno creato un infinito archivio di credenziali rubate, facilmente disponibili non solo nel Dark Web, ma anche nel Surface Web alla portata di tutti.
Analizzando un consistente campione di queste e-mail del 2018, ho scoperto che tutte le password provenivano dal famoso data breach di LinkedIn, che risale al 2012, ma fu rilanciato nel 2016, quando un hacker di nome Peace mise in vendita nel Dark Web 164 milioni di credenziali rubate nel 2012. Oggi queste credenziali (cioè l’accoppiata username e password) sono ormai di pubblico dominio ed è stato quindi un gioco da ragazzi per i cyber criminali inviare in modo automatico agli indirizzi e-mail (che erano gli username) un messaggio contenente la password associata.
Nei mesi successivi si sono succedute molte altre ondate di queste email, alcune anche in lingua italiana (più o meno corretta) e con richieste di riscatto variabili da poche centinaia di euro a molte migliaia, sempre comunque da pagare in bitcoin.
La Electronic Frontier Foundation (EFF) ha creato un registro aggiornato delle varianti di tali messaggi di sextortion, consultabile su una pagina Web apposita.
Abbiamo visto quindi e-mail – decisamente più rozze – nelle quali non si usava più la minaccia della password, ma si cercava di intimidire la potenziale vittima con la tecnica dello spoofing: le e-mail risultavano partite dall’indirizzo della vittima. La quale – a questo punto – avrà il timore che la sua casella di posta sia stata violata.
Infatti, i messaggi sono – più o meno, con alcune varianti – di questo tenore:
Ciao! Come avrai notato, ti ho inviato un’email dal tuo account. (e questo immediatamente crea apprensione a chi la riceve!). Ciò significa che ho pieno accesso al tuo account. Ti sto guardando da alcuni mesi. Il fatto è che sei stato infettato da malware attraverso un sito per adulti che hai visitato. Se non hai familiarità con questo, ti spiegherò. Virus Trojan mi dà pieno accesso e controllo su un computer o altro dispositivo. Ciò significa che posso vedere tutto sullo schermo, accendere la videocamera e il microfono, ma non ne sai nulla. Ho anche accesso a tutti i tuoi contatti e tutta la tua corrispondenza. Perché il tuo antivirus non ha rilevato il malware?
Risposta: il mio malware utilizza il driver, aggiorno le sue firme ogni 4 ore in modo che Il tuo antivirus era silenzioso.
Ho fatto un video che mostra come ti accontenti nella metà sinistra dello schermo, e nella metà destra vedi il video che hai guardato.
Con un clic del mouse, posso inviare questo video a tutte le tue e-mail e contatti sui social network.
Posso anche postare l’accesso a tutta la corrispondenza e ai messaggi di posta elettronica che usi. Se vuoi impedirlo, trasferisci l’importo di 200€ al mio indirizzo bitcoin (se non sai come fare, scrivi a Google: “Compra Bitcoin”).
Il mio indirizzo bitcoin (BTC Wallet) è: 1PWMVBQVS51Ej4RobUZ3EQnUa7vPof1XGd.
Dopo aver ricevuto il pagamento, eliminerò il video e non mi sentirai mai più. Ti do 48 ore per pagare. Non appena apri questa lettera, il timer funzionerà e riceverò una notifica. Presentare un reclamo da qualche parte non ha senso perché questa email non può essere tracciata come e il mio indirizzo bitcoin. Non commetto errori! Se scopro di aver condiviso questo messaggio con qualcun altro, il video verrà immediatamente distribuito.
Auguri!”
L’e-mail contiene una serie di “minacce informatiche” che sono solo dei bluff (ma in grado di spaventare un utente poco esperto).
L’elemento “intimidatorio” non è la conoscenza della nostra password, ma la minaccia di aver preso possesso della nostra casella di posta elettronica.
Per molti utenti un messaggio scritto dal proprio account rappresenta una minaccia reale, perché non conoscono le tecniche di “spoofing”.
L’importo del riscatto si è sensibilmente abbassato: dalle migliaia di dollari a poche centinaia di euro. I cybercriminali fanno anche valutazioni “commerciali”: meglio chiedere pochi soldi a tanti, qualcuno per debolezza o insicurezza pagherà, temendo guai peggiori.
Quanto è diffuso il fenomeno del sextortion
Dopo le prime ondate con messaggi esclusivamente in inglese, essendo la truffa evidentemente remunerativa, si sta propagando con messaggi anche in altre lingue. I paesi più colpiti sono il Regno Unito, l’Australia, gli Stati Uniti, ma anche Germania, Francia, Spagna, Russia. Si è notato che la richiesta di riscatto è personalizzata in base alla lingua: importi più elevati, per i messaggi inviati in inglese, sloveno e coreano e importi più bassi, in media, per gli spam inviati in polacco, italiano e spagnolo.
Si lavora sulla quantità: secondo il MIT Technology Review, i cyber criminali utilizzano botnet come Necurs o Cutwail (anche a noleggio, al costo tra $ 100 e $ 500 per inviare un milione di email di spam). Con una botnet al costo di $ 10.000 al mese, possono inviare 100 milioni di messaggi spam.
Il “tasso di conversione” è estremamente basso, appena lo 0,00001%, come riportato da MIT Technology Review che cita la ricerca condotta da Masarah Paquet-Clouston (ricercatrice della società di sicurezza informatica GoSecure) assieme all’Austrian Institute of Technology, che ha analizzato un grande volume di dati.
I ricercatori hanno seguito i conti Bitcoin utilizzati per i pagamenti delle estorsioni. Sebbene questi siano anonimi, le transazioni stesse sono trasparenti. È risultato, come dichiarato nella ricerca, che “questo schema di sextortion ha generato un reddito compreso tra $ 1.300.620 e $ 1.352.266 per un periodo di 11 mesi”. É emerso che molte e-mail di sextortion (anche in diverse lingue) utilizzavano per la richiesta di pagamento lo stesso indirizzo Bitcoin. Paquet-Clouston ha concluso che “La nostra analisi indica fortemente che la grande maggioranza dei flussi di entrate finanziarie generati dalla sextortion può essere essenzialmente attribuita a una singola entità del mondo reale”.
Anche Bitcoin Who’s Who ha analizzato la truffa che nel settembre 2018 ha colpito in 42 paesi diversi (quasi un terzo delle truffe proveniva dagli Stati Uniti).
Sono stati individuati 621 indirizzi Bitcoin che hanno ricevuto centinaia di transazioni.
Il saldo totale ricevuto di tutti è stato di 540,27603866 BTC con la maggior parte (481 BTC), accreditati su un solo indirizzo, 1JsACYBoRCYkz7DSgyKurMyibbmHwcHbPd.
Nella figura tratta da Bitcoin Who’s Who, sono riportati i 5 indirizzi Bitcoin che hanno registrato i maggiori incassi:
Bitcoin Who’s Who è un sito al quale è possibile segnalare gli indirizzi utilizzati per truffe: basta scrivere l’indirizzo bitcoin e selezionare “Report Scam”.
Studi simili sono stati condotti nel 2019 da Malwarebytes Labs, seguendo il flusso dei conti Bitcoin attraverso la blockchain. Sono stati indagati una serie di indirizzi Bitcoin, tutti segnalati come associati ad attività criminali su Bitcoin-Spam, un database pubblico di cripto-indirizzi utilizzato da hacker e criminali.
È risultato che la campagna di sextortion attiva tra il 1° febbraio 2019 e il 13 marzo 2019, ha raccolto un totale di 21,6847451 BTC, poco più di $ 220.000 ai tassi di cambio correnti.
Quindi queste truffe di sextortion basate e-mail, realizzano affari che vanno incredibilmente bene e con costi, come il rischio di essere scoperti, che sono bassissimi per i cyber criminali.
Quindi dobbiamo aspettarci che gli spammer continueranno a inviare e-mail di massa per cercare di estorcere denaro facendo leva sui grandi numeri e sulla messa in scena di una minaccia particolarmente ansiogena per l’utente.
Come difendersi dal sextortion
Ovviamente si tratta solo un tentativo di estorsione, anche abbastanza grossolano, per spillare soldi agli utenti sfruttando un possibile effetto “panico”.
Non hanno nessun vostro filmato, né hanno violato la vostra casella di posta.
Quindi cancellare l’e-mail ed ignorare qualsiasi altro messaggio del genere. Hanno solo provato a fregarci, come avranno provato, “a strascico”, con chissà quanti altri.
Evitare naturalmente di interagire, rispondendo al malandrino: servirebbe solo a confermare l’esistenza del nostro indirizzo e-mail.
Non dobbiamo quindi preoccuparci, ma a condizione di tener sempre alta l’attenzione ed essere consapevoli che questi attacchi cercano di fare leva sulle debolezze umane (il social engineering).
Cambiamo la password dell’account e-mail
In teoria non sarebbe necessario procedere con il cambio della password di accesso alla nostra casella di posta elettronica, perché in realtà l’account non è stato violato.
Ma se l’e-mail ricevuta fa riferimento ad una password che stiamo ancora utilizzando, significa che il nostro account non è sicuro, perché qualcuno in rete conosce la nostra password.
Sarà opportuno mettere in atto le necessarie misure di sicurezza per le password.
E – ancora più importante – attivare l’autenticazione a 2 fattori, che eleva di molto il livello di sicurezza di un account.
Infine, è consigliabile interrogare l’ottimo sito Have i been pwned, creato dall’esperto di cyber security australiano Troy Hunt.
Qui possiamo inserire il nostro indirizzo e-mail per controllare che non sia finito in qualche “leak” (cioè che non sia presente in qualcuno dei tanti database di account violati: ad oggi il sito di Troy Hunt contiene ben 8.428.463.891 “pwned accounts”). È sufficiente digitare il proprio username e cliccare sul pulsante pwned? per sapere se il nostro indirizzo e-mail è stato coinvolto in qualche incidente informatico. Se così fosse, la schermata diventa rossa e compare la scritta Oh no — pwned!.
E vengono elencati i “Breaches you were pwned in”, gli incidenti nei quali il nostro account è finito. Con il consiglio, ovvio, di cambiare subito la password dell’account violato!
